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本 書 に つい て 
Qualys に つい て 


本 書 に つい て 


Qualys CloudView へ よう こそ 。 本 書 で は 、 Qualys Cloud Security Platform を 使っ て AWS リソー ス を 保護 
する Qualys ソリ ュー ショ ン に つい て 詳し く 説 明 し ます 。 


Qualys に つい て 


Qualys, Inc. (NASDAQ: QLYS) は 、 セ キュ リティ と コン プラ イア ンス を 目的 と する クラ ウド ソリ ュー ショ 
の 2 の パイ オー ニア で あり 、 リ ー デ ィ ン ノ ルン パラ ーー で すず 。 uahe の ノラ レク ド ブラッ ドク ルー ム お よび が 和合 
れれ た アプ リク ーション は ほ 、 重 計 ぷ セキ ギュ リティ イン テリ ジョ ンス を オン デマ ンド で 提供 し 、II シス デム と 
Web アプ リケーション の 監査 、 コ ンプ ライ アン ス 、 お よび 保護 の 全 範 囲 を 目 動 化す る こと に より 、 ビ ジネス 
に お ける セキ ュ リ ティ 業務 の 簡略 化 と コン プラ イア ンス の コス ト 削 減 を 支援 し ます 。 


1999 年 の 創立 以来 、Qualys は 、Accenture、BT、Cognizant Technology Solutions, Deutsche Telekom, '& 
士 通 、HCL、HP Enterprise, IBM, Infosys, NTT, Optiv, SecureWorks, Tata Communications, Verizon, 
Wipro な どの マネ ー ジ ドサ ービス プロ バイ ダ や コン サル ティ ング 企業 と の 戦略 的 パー トナ ー シ ッ プ を 構築 
し て きま し た 。Qualys は 、CSA (Cloud Security Alliance) の 創立 メン バー で も あり ます 。 詳細 情報 は 、 
www.qualys.com を ご 覧 くだ さい 。 


Qualys サポ ー ト 


Qualys は 綿密 な サポ ー ト を 提供 し ます 。 不明 な 点 に は 、 オ ン ラ イン ドキ ュ メ ント 、 電 話 サ ポー ト 、 お よび 
E メー ル に よる 直接 サポ ー ト を 通じ て 、 可 能 な 限り 迅速 に お 答え し ます 。 弊社 は 24 時 間 年 中 無休 で サポ ー 
ト を 提供 し ます 。 オ ン ラ イン サポ ー ト の 情報 に つい て は 、www.qualys.com/suppor(/ を ご 覧 くだ さい 。 


CloudView の 概要 
必要 な Qualys の サブ スク リプ ショ ン と モジ ュー ル 


CloudView の 概要 


Qualys CloudView は ご 利用 の クラ ウド 環境 全体 に 優れ た 可視 性 と 継続 的 な が セキュ リティ を 提供 し ます 。 
CloudView で は 以下 の 機能 を 利用 で きま す 。 


sdYSC の リー デシ ジョン 作 城 で アデ セット と ど と リ ツー ス を 検出 し 、 視 数 の アデ カッ ント や 復 数 の クラ ウド クア ラッ ト 
フォ ー ム か ら イ ン ベ ン トリ 情報 を 収集 する 


- リソース メタ デー タ の 検索 、 リ ソー ス の 詳細 の 表示 、 リ ソー ス の 関連 付け の 表示 
- 追加 設定 不要 の AWS, Azure, GCP の ポリ シー 


- 追加 設定 不要 の ポリ シー の コン トロ ー ル に 従っ て チェ ッ ク し 、 リ ソー ス の 構成 ミス を 継続 的 に 評価 し て 報 
告 する 


- 必要 に 応じ て 、 独 自 の ポリ シー を 作成 し 、 コ ント ロー ル を カス タマ イズ する 
- 構成 ミス の 表示 、 フ ィ ル タリ ング 、 エ クス ポー ト 


必要 な Qualys の サブ スク リブ ション と モジ ュー ル 

ご 利用 の サブ スク リプ ショ ン で 以下 の モジ ュー ル が 利用 で きる こと を 確認 し て くだ さい 。 
- CloudView 

- Vulnerability Management (ホス ト の 脆弱 性 情報 を 表示 し た い 場 合 の み ) 

- AssetView 

- Cloud Agents for VM 


- Administration 


モジ ュー ル に アク セス する 必要 が ある 場合 は 、Qualys テク ニカ ル ア カ ウン トマ ネー ジャ (TAM) に お 問い 
合わ せく だ さい 。 


CloudView の 概要 


概念 と 用 語 

pu z 
概念 と 用 語 
CloudView で よく 使わ れる 用 語 に つい て 説明 し ます 。 

TUN 説明 
ポリ シー クラ ウド アカ ウン ト か ら 収 集 し た さま ざま な リソー ス を 評価 する 構成 チェ ッ ク の セッ 

ト 。 

NNN sy 構成 チェ ッ ク の 1 つ 1 つ 。 各 チェ ッ ク は 特定 の サー ビス / リ ソー ス に 適用 され ます 。 


以下 に 例 を 示 し ます 。 

- コン ツール ユー ザ に MFA を 有効 に する - AWS IAM Service と IAM User Resource 
に 通用 する 

- パス ワー ド ポ ボ ポリシー で 大 文字 を 強制 する -AWS IAM Service に 適用 する 

- セキ ュ リ ティ グル ー プ で 0.0.0.0 か ら ポ ボート 22 へ の イン バウ ンド アク セス を 許可 し 
な い - EC2/VPC サー ビス と Security Group リツ ソース に 適用 する 


サリ ービス サー ビス は 高い レベ ル の グル ー プ 化 で 機能 領域 で 分 けら れ て いま す 。 和 各 サ ービス は 上 暴 
な る ジン ティ テオ ポリ で 情 成 され で いま すず 

リツ マズ リソー ス は 操作 で きる エン ティ ティ で す 。 これ に は Amazon EC2 イン スタ ンス 、 
IAM User, Security Group な ど が あり ます 。 

合格 コン トロ ー ル コント ロー ル ご と に 適用 き は れる リソー スタ イプ が 決ま っ て いま す 。 各 コン トロ ー ル に 


合わ せ て 、 該 当 す る リソー ス が 収集 され ます 。 コ ント ロー ル は 、 リ ソー ス の 特定 の 属 
性 が ベス ト プ ラ クティ ス に 従っ て 設定 され て いる か どう か チェ ッ ク し ます 。 収集 し た 
すべ て の 適用 可能 な リソー ス に つい て 、 チ ェ ッ ク す る 属性 が 望ま し い 構 成 に 従っ て 設 
定 さ れ て いる こと が わか っ た 場合 、 コ ント ロー ル は 合格 に な り ま す 。 


失敗 ユメ ント ロー ル 収集 され た 該当 する 任意 の リソー ス に つい て 、 チ ェ ッ ク 対 象 の 属性 が 望ま し い 構 成 に 
従っ て 設定 され て いな いこ と が わか っ た 場合 、 コ ント ロー ル は 失敗 に な り ま す 。 

合格 リソー ス コン トロ ー ル に ある 望ま し い 構 成 に 従っ て 属性 が 設定 され て いる 場合 、 そ の リソー ス 
は その コン トロ ー ル に 対し て 合格 と 見 な され ます 。 

REU 27 74 コン トロ ー ル に ある 望ま し い ゆい 構成 に 従っ て 属性 が 設定 され て いな い 場 合 、 そ の リソー 


人 は で の コロ ンド ロール に 対し で て 拓 骨 と 見 が きれ ます 。 


操作 手順 
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操作 手順 


クラ ウド 環境 に コネ クタ を 設定 する だ け で 準備 は 売 了 で す 。 すぐ で に クラ ウド アカ ウン ト に ある リソー ス の 検 
出 が 始ま り ま す 。AWS、Azure、GCP の 各 コ ネ ク タ を 作成 で きま す 。 順 を 追っ て 詳し く 説 明 し ます 。 


AWS 


AWS アカ ウン ト か ら リ ソー ス 情 報 を 収集 する AWS コネ クタ を 設定 し ます 。 操作 は わずか 数 分 で 完了 しま 
ds 
ベー ス ア カウ ント 


AWS コネ クタ は 、AWS API の クエ リ に Qualys アカ ウン ト を 使用 し ます 。Qualys アカ ウン ト を 使用 し た 
く ない 場 合 は 、 ベー ス ア カウ ント 機能 を 使用 し て 、 CloudView か ら AWS API クエ リ に 独自 の AWS アデ カウ 
ント を 使用 で きま す 。 ベ ー ス アカ ウン ト タ イ プ ご と に AWS アカ ウン ト ID と ユー ザ 資 格 情報 を 設定 する 必 
要 が あり ます 。 詳 細 に つい て は 、 ベ ー ス アカ ウン ト を 参照 し て くだ さい 。 


AWS コネ クタ を 作成 する 手順 


Configuration] — 「Amazon Web Services] タブ に 移動 し 、「Create Connector) を クリ ッ ク し ます 。 


CloudView DASHBOARD RESOURCES MONITOR POLICY REPORTS CONFIGURATION 
| 1 


Configuration Amazon Web Services Microsoft Azure Google Cloud Platform Access Management 


4 Create Connector Configure base account Group by... v 


操作 手順 
AWS 


コネ クタ の 名 前 と 説明 (オプ ショ ン ) を 入力 し ます 。 


<€ Create AWS Connector 


^ 


Create A Role For Cross-Account Access 


Con nector Detal ls 1. Log in to Amazon Web Services (AWS) Console. 
Give your connector a name and provide a description (optional). 2. Go to the IAM service. 
e Name equirec 3. Go to Roles and click Create Role. 
| My AWS Connector 4. Under "Select type of trusted entity" choose Another AWS 
| account. Then: 
a. Paste in the Qualys AWS Account ID (from connector 
Description details). 
My AWS Connector | b. Select Require external ID and paste in the External ID 


(from connector details). 
c. Click Next: Permissions. 


5. Find the policy titled "SecurityAudit" and select the check 
boxes next to it. Click Next: Tags. 


| 6. Click Next Review. 
e Select Account Type 7. Enter a role name (e.g. QualysCloudViewRole) and click 
£t rala r " 2 e 
Global US GovCloud China 5. Find the policy titled "SecurityAudit" and select the check 


boxes next to it. Click Next: Tags. 
Specify cross account ARN 
6. Click Next: Review. 
7. Enter a role name (e.g. QualysCloudViewRole) and click 
e Follow steps on the right to create an IAM role in AWS that will give Qualys cross-account access to your AWS resources. Create role. 


Then enter the Role ARN below. Tip - You'll need the Qualys AWS account ID and external ID to complete the steps. 8. Click on the role you just created to view details. Copy the 


Role ARN value and paste it into the connector details. 
Qualys AWS ID External ID i pani ; 


Pg a ET | 
edu og m L 1569910549350 Copy | Want to create a role using CloudFormation ? 


の Role ARN 
| arn:aws:iamz XXXXXXXXXXXX:role/ClouvViewDemoAWS 


Ə Create Connector in AssetView 


Select to automate creation of same connector in AssetView. Ensure that your account has the required permissions in AssetView 


module for the connector to be created in AssetView. 
Or 


コネ クタ の アカ ウン ト タ イ プ (「Global」 、「US GovCloud」 、 ま た は 「China」) を 選択 し ます 。 コネ クタ ご 
と に 選択 で きる アカ ウン ト タ イ ププ は 1 つの み で す 。 


注記 : アカ ウン ト タ イ プ 「China」 の コネ クタ を 使用 する 場合 、 ベース アカ ウン ト を 必ず 設定 し て くだ さい 。 
詳細 に つい て は 、 ベ ー ス アカ ウン ト を 参照 し て くだ さい 。 


次 に 、 コ ネ ク タ の 詳細 情報 に 設定 され て いる 「Qualys AWS Account ID」 と 「External ID」 を コピ ー し ま 
T, これら の ID は 次 の ステ ッ プ で AWS に IAM ロー ル を 作成 する 際 に 必要 に な り ま す 。 


コネ クタ の 作成 時 、 一 意 の 外部 ID が 生成 され ます 。 独自 の 外部 ID も 使用 で きま す (外部 ID は 数 字 で あ 
り 、 文 字数 は 9 96 文字 で ある 必要 が あり ます )。 


操作 手順 
AWS 


AWS コン ソー ル を 開始 し 、IIAM」 一 「Roles」 に 移動 し て 「Create role] を クリ ッ ク し ます 。「Create role] 
ウィ ンド ウ で 「Another AWS account] を 選択 し ます 。 前 の 手順 で コピ ー し た Qualys の アカ ウン ト ID と 
外部 ID を 貼り 付け ます 。「Next: Permissions] を クリ ッ ク し ます 。 


の 6 - 


Create role 


Select type of trusted entity 


mag AWS service @ Another AWS account pasan — ii SAML 2.0 federation 
BE EC2, Lambda and others A Belonging to you or 3rd party o 5 uin u^ or any onm Your corporate directory 
Allows entities in other accounts to perform actions in this account. Leam e 
Specify accounts that can use this role 
Account ID* 805950163170 e 


Options ^v Require external ID (Best practice when a third party will assume this role) 


You can increase the security of your role by requiring an optional external identifier, which 
prevents "confused deputy" attacks. This is recommended if you do not own or have 
administrative access to the account that can assume this role. The external ID can include any 


characters that you choose. To assume this role, users must be in the trusted account and 
provide this exact external ID. Learn more 


External ID 


1533055678393 


Important: The console does not support using an external ID with the Switch Role feature. If 
you select this option, entities in the trusted account must use the API, CLI, or a custom 
federation proxy to make cross-account iam.ASSumeRole calls. Learn more 


Require MFAQ 


* Required Cancel | Next: Permissions | 


CloudView の クロ ス ア カウ ント ロー ル を 作成 する 場合 は 、「Require MFA] オプション を 選択 し な いで くだ 
さい 。 


| Attach Permissions policies] セク ショ ン で 「SecurityAudit」 と いう タイ トル の ポリ シー を 見 つけ 、 横 に あ 
る チェ ッ ク ボ ポ ボック グズ スズ を 選択 し ます 。「Next: tags) を クリ ッ ク し 、「Next: Review] を クリ ッ ク し ます 。 
Create role 1 C» 3 


Attach permissions policies 


Choose one or more policies to attach to your new role. 


Create policy || &» Refresh 


Filter: Policy type v | Q security Showing 1 result 


Policy name v Attachments > Description 


v » WB securityAudit 0 The security audit template grants access to read security co... 


* Required Cancel Previous 


操作 手順 
AWS 


AWS ロー ル を 保存 し て ARN を 取得 し ます 。 ロ ー ル 名 ( 例 : QualysCVRole) を 入力 し 、「Create role] を 
クリ ッ ク し ます 。 次 に 、 保 存 し た ロー ル を クリ ッ ク し て ロー ル の 詳細 を 表示 し 、ARN 値 を コピ ー し ます 。 


Create role 05/2 e 


Review 


Provide the required information below and review this role before you create it. 


Role name* QualysCVRole 


Use alphanumeric and +=..@-_' characters. Maximum 64 characters. 


Role description 


Maximum 1000 characters. Use alphanumeric and ‘+=,.@-_' characters. 


Trusted entities The account 805950163170 
x V 
Policies Ø SecurityAudit C7 


Permissions boundary Permissions boundary is not set 


Qualys CloudView の AWS コネ クタ に 戻り 、 ロ ー ル ARN 値 を コネ クタ の 詳細 情報 に コピ ー し ます 。 


| €— Create AWS Connector 


Create A Role For Cross-Account Access 


Connector Details 1. Log in to Amazon Web Services (AWS) Console. 
Give your connector a name and provide a description (optional). 2. Go to the IAM service. 
Name tegu 3. Go to Roles and click Create Role. 
4. Under "Select type of trusted entity" choose Another AWS 
My AWS Connector T i 
account. Then: 


a. Paste in the Qualys AWS Account ID (from connector 


Description details). 
My AWS Connector | b. Select Require external ID and paste in the External ID 


(from connector details). 
c. Click Next: Permissions. 


5. Find the policy titled "SecurityAudit" and select the check 


ググ 
x boxes next to it. Click Next: Tags. 

6. Click Next: Review. 
Select Account Type 

7. Enter a role name (e.g. QualysCloudViewRole) and click 

(e Global GovCloud China Create role. 
: 8. Click on the role you just created to view details. Copy the 
Specify cross account ARN —— Py 
Role ARN value and paste it into the connector details. 
Follow steps on the right to create an IAM role in AWS that will give Qualys cross-account access to your AWS resources. Then Want to create a role using CloudFormation ? 


enter the Role ARN below. Tip - You'll need the Qualys AWS account ID and external ID to complete the steps. 
Qualys AWS ID External ID 


Copy | | 1576635071978 oni 


Role ARN 


arn:aws:iam::XXXXXXXXXXXX:role/QualysCVRole 


Create Connector in &ssetView 


Select to automate creation of same connector in AssetView. Ensure that ycur account has the required permissions in AssetView 


module for the connector to be created in AssetView. 


E] Create Connector p 


| Create Connector in AssetView] チェッ クボ ックス を 選択 し ます (オプ ショ ン )。 こ の チェ ッ ク ボ ックス を 
選択 する と 、AssetView モジ ュー ル で 現在 の コネ クタ の レプ リカ が 作成 され 、 利 用 可能 に な り ま す 。 こ れ に 
より 、AssetView モジ ュー ル で の コネ クタ 作成 の 操作 が 不要 に な り ま す 。 


10 


操作 手順 
AWS 


パー ミッ ショ ン の 前 提 条 件 ユー ザ に は 、AssetView モジ ュー ル の EC2 コネ クタ ベ ページ へ の アク セス 権 が 
必要 で 、AssetView パー ミッ ショ ン で 「Manage Asset Data Connectors] パー ミッ ショ ン が 有効 に な っ て い 
る 必要 が あり ます 。 


次 に [Create Connector] を クリ ッ ク LET, 


以上 で 完了 で す 。 コネ クタ は AWS と の 接続 を 確立 し て 各 リ ー ジ ョ ン の リソー ス の 検出 を 開始 し 、 そ れ ら を 
ポリ シー に 対し て 評価 し ます 。 


CloudFormation を 使っ た ロー ル の 作成 
「Create AWS Connector] ウィ ンド ウ か ら CloudFormation テン プレ ー ト を ダウ ン ロ ー ド し ます 。 


と Create AWS Connector 
Create A ross-Account Access 
Wan 


Connector Details 


ector a name and provide a description (optional) ; 
Name 2. Log in to Amazon Web Services (AWS) and go to 
CloudFormation. 


My AWS Connector 3. Create stack & upload template 


4. When the stack is complete, copy the Role ARN value from 


Description the output and paste it into the connector details. 


Sample Connector 


画面 上 の 手順 に 従っ て 、 前 に アッ プロ ー ド し た テン プレ ー ト ファ イル を ダウ ン ロ ー ド する スタ ッ ク y を 作成 
し ます 。 ス タッ ク が 完成 し た ら 、 出 力 か ら ロ ー ル ARN を コピ ー し て コネ クタ の 詳細 情報 に 貼り 付け ます 。 


ベー ス ア カワ ント 


AWS コネ クタ は 、AWS API の クエ リ に Qualys アカ ウン ト を 使用 し ます 。Qualys アカ ウン ト を 使用 し た 
く な い 場 合 は 、 ベー ス ア カウ ント 機能 を 使用 し て 、 CloudView か ら AWS API クエ リ に 独自 の AWS アカ ウ 
ント を 使用 で きま す 。 ベ ベース アカ ウン ト タ イ プ ご と に AWS アカ ウン ト ID と ユー ザ 資 格 情報 を 設定 する 必 
要 が あり ます 。 


例え ば 、!Central Security Account], |Production], [Development] の 3 つの AWS アカ ウン ト が ある と 
し ます 。CloudView の AWS コネ クタ の 設定 で 「Central Security Account] を ベー ス ア カウ ント に 指定 し 
T, [Production] kU [Development] アカ ウン ト か ら リ ソー ス を 取得 する よう に 設定 で きま す 。 


ベー ス ア カウ ント の 作成 


新しい コネ クタ を 作成 する 前 に 、 同 じ ア カウ ント タイ プ (リー ジョ ン ) で ベー ス ア カウ ント を 作成 し ます 。 
ベー ス ア カウ ント を 作成 し な い 場 合 は 、Qualys アカ ウン ト を 使用 し て コネ クタ を 作成 で きま す 。 


AWS API の クエ リ に ユー ザ の アカ ウン ト を 使用 する AWS コネ クタ を 作成 する に は 、 同 じ ア カウ ント タイ 
プ (Global」 、「GovCloud」、「China」) の ベー ス ア カウ ント を 最初 に 設定 する 必要 が あり ます 。 ベ ー ス アカ 
ウン ト を 作成 し な い 場 合 は コネ クタ を 作成 で きま す が 、 こ の 場合 、AWS API の クエ リ に Qualys アカ ウン 
ト が 使用 され ます 。 
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Configuration] — [Amazon Web Services] を 選択 し 、「Configure Base Account] を クリ ッ ク し ます 。 


CloudView DASHBOARD RESOURCES MONITOR POLICY REPORTS CONFIGURATION | 


Confi gu ration Amazon Web Services Microsoft Azure Google Cloud Platform Access Management 


a Search... 


ERN... 


[Create] を クリ ッ ク し 、 タ イト ル 、AWS アカ ウン ト ID、 ア クセ スキ ー、 RWESExiBxULXx, 


アカ ウン ト タ イ プ を 選択 し ます 。 作成 で きる ベー ス ア カウ ント は 、 アカ ウン ト タ イ プ ご と に 1 つの み に な り 
ます 。 


Create Base Account 


Title 


Sample_base_account 


N ccount ID 


11111111111 


©) Global GovCloud China 


M] Use in AssetView 


| -— 


その ベー ス ア カウ ント を 設定 する AWS アカ ウン ト ID の ユー ザ の AWS コン ソー ル に 関連 付け られ た ポリ 
シー が ある こと を 確認 し て くだ さい 。 AWS コン ソー ル の 手順 に つい て は 、 AWS コン ツー ル の ベー ス ア カウ 
ント 設定 を 参照 し て くだ さい 。 


(4) (4) 「Use in AssetView」 オ プシ ョ ン を 選択 し て 、 設 定 し た ベー ス ア カウ ント を AssetView アプ ブリ ケ ー 
ショ ン で も 使用 で きる よう に し ます 。 こ れ に より 、AssetView で 別途 ベー ス ア カウ ント を 作成 する 必要 が な 
SN Eq 

ベー ス ア カウ ント の 編集 

編集 する ベー ス ア カウ ント を 選択 し 、「OQuick action) メニュー を クリ ッ ク し て 「Bdit」 を 選択 し ます 。 ア カ 
ウン ト 名 、AWS アカ ウン ト ID、 ア クセ スキ ー、 秘 鶴 鍵 を 編集 で きま す 。 ア カウ ント タイ プ は 編集 で きま せん 。 
ベー ス ア カウ ント を 使用 する よう に 既存 の コネ クタ を 更新 

Qualys アカ ウン ト を 使用 する 既存 の AWS コネ クタ を ベー ス ア カウ ント を 使用 する よう に 更新 する に は 、 以 
下 を 実行 する 必要 が あり ます 。 


-AWS アカ ウン ト ID を 使用 する ベー ス ア カウ ント を 作成 し ます 。 
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- [IAM Roles」 の 「Trust Entities」 を 更新 し ます 。 AWS コン ソー ル で 、「!IAM role] つ 「Trust relationships | 
を 選択 し 、「Edit trust relationship] を 選択 し ます 。 そ の ベー ス ア カウ ント を 設定 する AWS アカ ウン ト ID 
が 、 こ の IAM ロー ル の 割り 当て を する 信頼 で きる エン ティ ティ の アカ ウン ト 番 号 と 一 致す る こと を 確認 し 
ます 。「Update Trust Policy」 を クリ ッ ク し ます 。 


Edit Irust Relationship 


You can customize trust relationships by editing the following access control policy document. 


Policy Document 


"d 
"Version": "2012-10-17", アカ ウン ト 番 号 が ベー ス ア カウ ント の 作成 時 に 
EE = 指定 し た アカ ウン ト 番 号 と 一 致す る こと を 確認 し ます 。 
"Effect": "Allow", 
"Principal": ( 
"AWS": "arn:aws:iam: root 
}, 
"Action": "sts:AssumeRole", 
"Condition": { 
"StringEquals": { 
"sts:ExternallId": "1541307767358" 
} 
) 
) 
] 
) 


対応 する ポリ シー を 更新 する と 、 対 応 す る IAM ロー ル を 使用 する 既存 の コネ クタ は 、 設 定 さ れ た ベー ス ア 
カウ ント に 目 動 的 に アッ プ グ レー ド さ れ ま す 。 

ベー ス ア カウ ント を 削除 し た 場合 

ベー ス ア カウ ント を 削除 する と 、 ベ ー ス アカ ウン ト に 関連 付け られ て いる すべ て の コネ クタ は 、Qualys Z 
ラウ ドブ プラットフォーム の Qualys アカ ウン ト に 自動 的 に 更新 され ます 。 た だ し 、AWS アカ ウン ト を 選択 


L, IAM ロー ル の 「Trusted Entities] の アカ ウン ト ID を ベー ス ア カウ ント ID か ら Qualys アカ ウン ト ID 
に 更新 する 必要 が あり ます 。 


AWS コン ソー ル の ベー ス ア カウ ント 設定 


コネ クタ に ベー ス ア カウ ント を 使用 する 場合 、 一 定 の 前 提 条 件 と AWS コン ツー ル で 構成 する 必要 の ある 設 
定 が あり ます 。 ベ ー ス アカ ウン ト を 設定 する た め に AWS コン ソー ル で 必要 な 手順 と 構成 は 以下 の と お り で 
EE 
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IAM ユー ザ の 作成 と AWS へ の ポリ シー の 関連 付け 


AWS コン ソー ル で [AWS]  lIPolicies] を 選択 し 、 次 の JSON コン テン ツ を 含む ポリ シー を 作成 し ます 
(IAssumeRole」 な ど )。 


IAM ユー ザ を 作成 し ます 。「Identity and Access Management] —> 「Users」 を 選択 し 、「Add user」 を クリ ッ 
クト に まう 


aws Services v Resource Groups v x 


Add user e 2) (3) (4) (s 


Set user details 


You can add multiple users at once with the same access type and permissions. Learn more 


User name* Qualys-Demo 


© Add another user 


Select AWS access type 
Select how these users will access AWS. Access keys and autogenerated passwords are provided in the last step. Learn more 
Access type wv Programmatic access 


Enables an access key ID and secret access key for the AWS API, CLI, SDK, and 
other development tools. 


AWS Management Console access 
Enables a password that allows users to sign-in to the AWS Management Console. 


ユー ザ 名 を 指定 し 、 ユ ー ザ の [Programmatic access] を 有効 に し ます 。「Next: Permissions] を クリ ッ ク し 
r3 


aws Services v Resource Groups v x 


Add user ] e 3) (4) (s 


~ Set permissions 


Qe Copy permissions from Attach existing policies 
E As FOOD USET TO Group Ah existing user directly 
Create policy c 
Filter policies v Q AssumeRole Showing 2 results 
Policy name v Type Used as Description 
7 > AssumeRole Customer managed Permissions policy (1373) Attach this policy to users to grant them Ass.. 
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「Attach existing policies directly」 を 選択 し 、「Filter policies」 に 作成 し た ポリ シー の 名 前 (AssumeRole) 
を 入力 し ます 。 設定 し た ポリ シー (AssumeRole) を 選択 し 、「Next: Tags] を クリ ッ ク し ます 。 


必要 に 応じ て タグ を 追加 し ます (オプ ショ ン )。 設 定 し た ユー ザ 設 定 を 確認 し 、「Create user」 を クリ ッ ク し 
ます 。 

AWS リソー スイ ン ベ ン トリ 

AWS コネ クタ を 設定 する と 、AWS アカ ウン ト に ある リソー ス の 検出 が 始ま り ま す 。 リソー ス の イン ベン ト 
リ と メタ デー タ は Qualys ポー タル に 送信 され ます 。 収集 され る リン ソース の リス ト は 、 リ ソー スリ スト を 参 
ELTI Eż, 更新 され た リソー ス を 取得 する に は 、AWS コネ クタ の クイ ッ ク ア クション メニ ュー で 
「Run」 を 選択 する 必要 が あり ます 。 

で きる こと 

- 複数 の AWS アカ ウン ト の サー ビス / リ ソー ス を まとめ て 一 箇所 か ら 把 握 で きる 。 


-AWS アカ ウン ト を 実行 する サー ビス / リ ツー ス を 特定 する 。 収集 され る リソー ス の リス ト は 、 リ ソー スリ 
スト を 参照 し て くだ さい 。 


- 適合 し て いな い リ ソー ス の 数 を 特定 する 。 

- リソー ス の 詳細 と 他 の リソー ス と の 関連 付け を 表示 する 。 

- リソー ス の 属性 、 ア カウ ント 、 リ ー ジ ョ ン な ど を 問い 合わ せ て リソー ス の 場所 を 探す 。 
- AWS タグ を 使っ て タグ 付き / タ グ な し の リソー ス を 検索 する 。 


- トレ ンド チャ ー ト と 時 間 範囲 に より 、 過去 7 日 、30 日 の リソー ス の 変化 の 様子 を 理解 で きる 。 カ スク タム の 
範囲 も 指定 で きま す 。 
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リソー スリ スト 

CloudView は 次 の AWS リソー ス を 検出 し 、 対 応 す る 属性 を 取得 し ます 。 
- Subnet 

- Network ACL 


- Internet ateway 
- Load Balancer 

- [nstance 

- Route Table 

- S3 Bucket 

- [AM User 

- VPC 

- Auto Scaling Group 
- Security Group 

- Lambda Function 
- RDS 

- EBS Volume 
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Microsoft Azure 


Microsoft Azure アカ ウン ト か ら リ ソー ス 情 報 を 収集 する Microsoft Azure コネ クタ を 設定 し ます 。 操作 は 
わずか 数 分 で 完了 し ます 。 


Azure コネ クタ の 作成 に 必要 な アク セス 許可 に つい て 説明 し ます 。 


前 提 人 条件 
Azure コネ クタ を 作成 する 前 に 、 以 下 の ア クセ ス 許 可 が ある こと を 確認 し て くだ さい 。 


- Azure Active Directory に アプ リケーション を 登録 する に は Azure Active Directory の アク セス 許可 を 割 
り 当 て る 


- Azure サブ プス クリ プシ ョ ン で ロー ル に アプ リケーション を 割り 当て る に は Azure Subscription の アク セス 
許可 を 確認 する 


Azure Active Directory の アク セス 許可 を 割り 当て る 


| Azure Active Directory] — 「User 
— Settings | に 移動 し 、「App registrations | 
Create a resource qualys-azure - User seing: が Azure サブ プス クリ プシ ョ ン で 許可 さ 


Al servis 5 | Bse x れ て いる こと を 確認 し ます 。 


Q Overview Enterprise applications 自 分 Mg» Azure UE p 2 A ク リ プ I^ ゴ 22 で T 
Oak gs cedit Manage how end users launch and view their applications — — — zx icis 
All resources B x リ 0» XR SK 25 「No」( に 設定 さ TU à 
Resource groups ーー App registrations 合 は 、 自 分 JO T JJ ワ < ト が Azure AD 
aa Users 
App Services i4 Groups o | ン カ ワ A ト T 管理 者 と ユー ザー D だ ち 
Function Apps M Roles and administrators D で あ る か 確認 す る 必要 が d り x T, 
P | SQL databases 識 Enterprise applications Administration portal 


iE. | アカ アント が 管理 者 か どう 
ae | る に は 、「Overview」 に 移動 し て 自分 
T ユー ザ 情 報 を 確認 し ます 。 


&Æ@ Azure Cosmos DB 


L virtual machines 


External users 


$ Load balancers 


Ea Storage accounts 


Virtual networks | 


3 P Switch d rectory 
49 Azure Active Directory « の | i ) 


Monitor f P >se 


Advisor fl Company branding 
t7 Getting started Hinlvs-à azure 
i i Azure AD Free 
B Security Center 2 User settings e 
S !|! Properties MANAGE - . 

D Cost Management + Billing Sign-ins 

M Users 
9 ーー 
&M Groups 
Find 

$4 Roles and administrators T. - 


eB Enterprise applications 


アカ ウン ト が 「User role」 に 割り 当て られ て いる が 、 ア プリ の 登録 設定 ! To に 制限 され て いる 
場合 、 新 し い ア プリ ケー ショ ン の 登録 は 許可 きれ ませ ん 。 こ の よう な 場合 は 、 管 理 者 に グロ ー バ ル 管 理 者 
ロー ル を 割り 当て て も ら う か 、 ユ ー ザ ー で も アプ リ を 登録 で きる よう に し て も らい ます 。 
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Azure Subscription の アク セス 許可 を 確認 する 

Azure サブ プス クリ プシ ョ ン で 、AD アプ リケーション に リー ダ ロ ー ル を 割り 当て る に は 、 ア カウ ント に 所 有 
者 アク セス ロー ル が 必要 で す 。 ア カワ ウント に 共同 作成 者 ロー ル が 割り 当て られ て いる 場合 は 、 適 切な パー 
ミッ ショ ン が な いた め 、AD アプ リケーション に ロー ル を 割り 当て よう と する と エラ ー が 発生 し ます 。 


自分 に 割り 当て られ て いる ロー ル を 確認 する に は 、 ア カウ ント を 選択 し て (画像 を 参照 ) 「My permissions] 
を 選択 し ます 。「Subscriptton」 ドロ ッ プ ダウ ン リ スト か ら 、 ア クセ ス 許 可 を 確認 する サブ スク リプ ショ ン を 
選択 し 、「Click here to view complete access details for this subscription] リン ク を クリ ッ ク し ます 。 


pu 


【 

f Sign out iU 

um C —————' 3 

| Change password c? 
My contact information E 


View my bill 


Switch Directory [Iz 


QuALYS-AZURE WE | 


"a " Il 3 
"I You have the following access: 


| 


My permissions + x 


m $ 
ーー Resource provider status 


Subscri 


Qualys Azure Dema 


" You are a member of the group Demo-Admin (null) which has 
been assigned the role 'Contri&utor' (type BuiltinRale) and has 
access to subscription Qualys Azure Demo 


[ Click here to view complete access details for this subscription. 


Azure コネ クタ を 作成 する 手順 


Configuration] タブ で 、「Microsoft Azure」 — 「Create Connector] を 選択 し ます 。 


CloudView 


- EL 
Configuration Amazon Web Services Google Cloud Platform ^ Access Management 


DASHBOARD RESOURCES MONITOR POLICY REPORTS CONFIGURATION 
1 —— | 


2 


a 
4 Create Connector Group by... v 
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コネ クタ の 名 前 と 説明 (オプ ショ ン ) を 入力 し ます 。 コ ネ ク タ の アカ ウン ト タ ダ タイプ (Global」 また は 「US 
GovCloud」) を 選択 し ます 。 コ ネ ク タ ご と に 選択 で きる アカ ウン ト タ イ プ は 1 つの み で す 。 


€— Create Azure Connector 


^ 
Give your connector a name and provide a description (optional). Create Application and get Application ID, Directory ID 


"B 


Account Name 


ー : iin Create application in Azure Active Directory and you can then no! 
| My Azure Connector | the application ID and directory ID. 


1. Log on to the Microsoft Azure console. Go to Azure Active 
Directory in the left navigation pane, then App 
Registrations. 


Description 


My Azure Connector 2. Click New registration and provide these details: 


a. Name: A name for the application (e.g. 
| My. Azure Connector) 


z] b. Supported account types: Select Accounts in any 
organizational directory 


Account Type 3. Click Register. The newly created is displayed with its 
properties. Copy the Application (client)ID and Directory 
@ Global ( ) Gov Cloud (tenant)IDand paste it into the connector details. 
Authentication Details 
Generate Authentication Key 
Application ID Required 


| Acquire Subscription ID 
ee a e a " aze 
| 261a8d-bed8-4564-a830-9d88df5ba2e9 


Directory ID Required 


| 82a9ef9a-9a98-4b00-886a-895a603bc0245 | 


Authentication Key Reauired 


Subscription ID Required 


| XXXXXXX-XXXXXX-XXXXXX | 


E Create Connector li 


次 に 、 Microsoft Azure コン ソー ル で アプ リケーション ID, ディ レク トリ ID, 認証 キー、 サブ スク リプ ショ 
ン ID を 設定 し て コネ クタ の 詳細 情報 に 貼り 付け る 方 法 に つい て 説明 し ます 。 
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アプ リケーション の 作成 と アブ リケーション ID お よび ディ レク トリ ID の 取得 

Azure Active Directory で アプ リケーション を 作成 し ます 。Microsoft Azure コン ソー ル に ログ オン し 、 左 
側 の ナビ ゲー ショ ン パ ネル で Azure Active Directory] に 移動 し 、 さ ら に 「App registrations] に 移動 x 
す 。「New registration] を クリ ッ ク し ます 。 


Microsoft Azure 


Create a resource 
Home 

= Dashboard 
All services 


FAVORITES 


All resources 


$! Resource groups 


R App Services 

*« SQL databases 

A Azure Cosmos DB 

ll virtual machines 

$ Load balancers 

B3 Storage accounts 
Virtual networks 

Q9 Azure Active Directory 


[31 Monitor 


の Search resources, services, and docs 


Home > Qualys, Inc. - App registrations 


Ij uw me App registrations e 


Azure Activ 


Search (Ctrl « 4 New registration e Endpoints | 


e Welcome to the new and improved| 


© Overview 

" < - : | 
ti Getting started Å Looking to learn how it's changel 

Still want to use App registration 

Manage 
© Users All applications Owned applicat 
am Groups の Start typing a name or Application IO} 
F Organizational relationships DISPLAY NAME 
$4 Roles and administrators m Demo Application 


I5 Enterprise applications 
B Devices 2 
識 App registrations (Legacy) 


(&j Identity Governance 


アプ リケーション を 登録 する に は 、 詳 細 情 報 を 指定 する 必要 が あり ます 。 


-- Create a resource 
fr Home 

国 Dashboard 

*Z All services 

* FAVORITES 

$85 All resources 

(€) Resource groups 
* Quickstart Center 
(S9 App Services 

> Function App 
SQL databases 
& Azure Cosmos DB 
EJ virtual machines 
e Load balancers 
i| Storage accounts 
<-> Virtual networks 
D Azure Active Directory 
"> Monitor 

*$ Advisor 

9 Security Center 
Q Cost Management - Billing 


2 Help + support 


« 


Home > qualys-azure - App registrations > Register an application 


Register an application X | 


* Name 


The user-facing display name for this application (this can be changed later). 


My Azure Connector | 


Supported account types 


Who can use this application or access this API? 


、 ) Accounts in this organizational directory only (qualys-azure) 
(e) Accounts in any organizational directory 
_ Accounts in any organizational directory and personal Microsoft accounts (e.g. Skype, 


— Xbox, Outlook.com) 


Help me choose... 


Redirect URI (optional) 


We'll return the authentication response to this URI after successfully authenticating the user. 
Providing this now is optional and it can be changed later, but a value is required for most 
authentication scenarios. 


[wes "zu 


e.g. https. nyGpp.co 


By proceeding, you agree to the Microsoft Platform Policies [2 
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- サポ ー ト され る アカ ウン ト タ イ プ : 組織 ディ レク トリ の アカ ウン ト を 選択 し ます 。 
[Register] を クリ ッ ク し ます 。 新しく 作成 され た アプ リケーション の プロ パテ ィ が 表示 され ます 。 


Home ? Qualys, Inc. - App registrations ? My Azure Connector 


sag My Azure Connector 


UJ Delete Co Endpoints 


Display name 


斉 Overview My Azure Connector 


di Quickstart Application (client) ID 
ee261a8d-bed8-4564-3830-9d88df5ba2e9 


Manage Directory (tenant) ID 
81aSef9a-9a98-4b00-886a-895a603bc028 
Em Branding i 
Object ID 
BE xuthenikeition 221a4946-7205-46d3-811d-69839703ed51 


Supported account types 

Multiple organizations 

Redirect URIs 

Add a Redirect URI 

Managed application in local directory 
My Azure Connector 


| Application (client) ID] & lDirectory (tenant) ID」 を コピ ー し 、 コ ネ ク タ の 詳細 情報 に 貼り 付け ます 。 
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Azure Service Management API に アク セス し て 秘密 鍵 を 作成 する に は 、 新 し い ア プリ ケー ショ ン に アク セ 


ス 許 可 を 提供 する 必要 が あり ます 。 
アク セス 許可 の 提供 : 


- 作成 し た アプ リケーション を 選択 し 、「API permissions] > |Add a permission] に 移動 し ます 。 


- [Request API permissions] の 「Microsoft APls」 で 「Azure Service Management] API を 選択 x, 


- [user impersonation] 権限 を 選択 し 、「Add permission] を クリ ッ ク LET. 


Home > - App registrations > My Azure Connector - API permissions 


-æ My Azure Connector - API permissions 


So | « 
O Search (Ctrit+/) | 
Ø Search (Ctrl, | 


API permissions 


WB Overview Applications are authorized to use APIs by requesti 


rant/deny access. 
& Quickstart J 


w + Add a permission リプ 


API / PERMISSIONS NAME 


Manage 


ES Branding 


"m * Mi ft Graph (1 
S) Authentication msnm 


? Certificates & secrets User.Read 


© API permissions eb 


ゆ Expose an API 


These are the permissions that this application reqt 
able permissions dynamically through code. See b: 


i£ Owners 
E Manifest Grant consent 


To consent to permissions that require admin const 


Support + Troubleshooting directory. 


X Troubleshooting 


Request API permissions 


Select an API 


ニニ ニニ ーー ニー ニー ニー ニー ニー ニニ ニー ニニ ニュ 


| Microsoft APls t APIs my organization uses MyAPls 


Commonly used Microsoft APls 


Microsoft Graph 


Take advantage of the tremendous amount of data in Office 365, Enterprise Mobility + 
Security, and Windows 10. Access Azure AD, Excel, Intune, Outlook/Exchange, OneDrive, 
OneNote, SharePoint, Planner, and more through a single endpoint. 


A Azure Service Management 


Azure Rights Management 
Services 


CJ Azure DevOps 


Integrate with Azure DevOps and Azure 
DevOps server 


Allow validated users to read and write 
protected content 


Programmatic access to much of the 
functionality available through the Azure 
portal 


Data Export Service for 
Microsoft Dynamics 365 


oo Dynamics 365 Business Central 


z Azure Storage レ 


Secure, massively scalable object and 
data lake storage for unstructured and 
semi-structured data 


Export data from Microsoft Dynamics 
CRM organization to an external 
destination 


Programmatic access to data and 
functionality in Dynamics 365 Business 
Central 


必要 な IDelegated Permissions]. を 選択 し 、「Select」 を クリ ッ ク し て か ら IDone」 を クリ ッ ク し ます 。 


Request API permissions 


< All APIs 


A 


What type of permissions does your application require? 


Azure Service Management 
https://management.azure.com/ Docs [2 


Delegated permissions 


Application permissions 


Your application needs to access the API as the signed-in user. Your application runs as a background service or daemon without a 


Select permissions 


T 
| lype to search 


expand all 


PERMISSION 


[v] user impersonation 
Access Azure Service Management as organization users (preview) @ 


| Add a permission] を クリ ッ ク し ます 。 


ADMIN CONSENT REQUIRED 
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| Request API permissions] の 「Microsoft APIs] で 「Microsoft Graph] を 選択 し ます 。 


Home > Doc-App - API permissions 


-æ Doc-App - API permissions 


API permissions 


IE Overview Applications are authorized t 
all the permissions the applic 


*à Quickstart 
(| + Adda permission 2 


Manage トー 
API / PERMISSIONS NAME 


國 Branding 
— v Microsoft Graph (1 
D Authentication ph 
f Certificates & secrets User.Read.All 
"9- API permissions These are the permissions th 
able permissions dynamically 
ゆ Expose an API 


IE Owners 
$ Roles and administrators (Previ... Grant consent 


E Manifest To consent to permissions th 


Support + Troubleshooting 


Application permissions] を 選択 し 、 


Request API permissions 


Select an API 


Microsoft APIs — APIs my organization uses My APIs 


Commonly used Microsoft APIs 


Microsoft Graph 


Security, and Windows 10. Access Azure AD, Excel, Intune, Outlook/Exchange, OneDrive 
OneNote, SharePoint, Planner, and more through a single endpoint. 


= 
" Azure Data Lake [| J Azure DevOps 


Access to storage and compute for big Integrate with Azure DevOps and Azure 
data analytic scenarios DevOps server 

A Azure Service Management z Azure Storage 

Programmatic access to much of the Secure, massively scalable object and 
functionality available through the Azure data lake storage for unstructured and 
portal semi-structured data 


選択 し 、「Add permissions] を クリ ッ ク し ます 。 


Take advantage of the tremendous amount of data in Office 365, Enterprise Mobility + (t E 


? Azure Key Vault 


Manage your key vaults as well as the 
keys, secrets, and certificates within your 
Key Vaults 


ees Dynamics 365 Business Central 


Programmatic access to data and 
functionality in Dynamics 365 Business 
Central 


—- 


| User permissions] を 展開 し て 、IUser.Read.All」 パー ミッ ショ ン を 


成功 する と 、「Permissions have changed.Users and/or admins will have to consent even if they have already 
done so previously] と いう 確認 通知 が 表示 され ます 。 


秘密 鍵 の 作成 : 


- 作成 し た アプ リケーション を 選択 し 、「Certificates and Secrets] ^ [New client secret] を 選択 x, 
- 秘 審 鍵 の 説明 と 有効 期限 (UNever」 を 推奨 ) を 追加 し 、「Add」 を クリ ッ ク し ます 。 
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キー の 値 が 「Value」 フィ ー ル ド に 表示 され ます 。 


Home > - App registrations > My Azure Connector - Certificates & secrets 


? My Azure Connector - Certificates & secrets 


« 
Search (Ctrl+/) Add a client secret 


IB Overview ーー 
Description 


«à Quickstart Type a description for the secret key 


Manage Expires 


f 
し In 1 year 


E Branding C) In 2 years 
S) Authentication r 


? Certificates & secrets 


る - API permissions Cr -— | 


IT mopr nie 1 


€9 Expose an API 
i Owners 


I Manifest Client secrets 


A secret string that the application uses to prove its identity when requesting a token. Also can be referred to as 
application password. 


X Troubleshootin 
; 人 N 
る 


»4 New support request 
DESCRIPTION 


Support + Troubleshooting 


No client secrets have been created for this application. 


この 時 点 で キー の 値 を コピ ー し ます 。 後 か ら キ ー の 値 を 取得 する こと は で きま せん 。 秘密 鍵 を メ 
2 o4 2 "o ua icc e 2 uera 
vm JUD) d cEQC ACT S OD SY 
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サブ スク リプ ショ ン ID 

アプ リグ ーション が ザ プ ブス クリ プシ ョ ン に デア デ ク セ モス する た め の ア デア クセス 評 可 を 付与 し ます 。 新 し い ア プリ 
ゲー くに ーー ルル を 割り 当て ます ビー ルル は 新しい アプ ブリ ケー が サス リプ ブン a に アイ スス 
る た め の ア クセ ス 許 可 を 定義 し ます 。 さ ら に サブ スク リプ ショ ン を 追加 する に は 、 こ れ ら の 手順 を 繰り 返し 
E 


Microsoft Azure ポー タル で 、「Subscriptions」 に 移動 し ます 。 


Microsoft Azure Æ Subscriptions 


Services 


Create a resource Azure services ' --— 
ーー Subscriptions 


Home =r : -— 
LJ i, Event Grid Subscriptions 
is Dashboard Virtual machines —— (&*) Resource groups 
All services O Manage subscriptions in the Billing/Account Center 
Eita E Resources 


LM DW PEPPER SI 


アプ リケーション に アク セス 許可 を 付与 する サブ スク リプ ショ ン を 選択 し 、 サ ブス クリ プシ ョ ン ID を メモ 
し ます 。 作 成 し た アプ リケーション に アデ アク セス 許可 を 付与 する に は 、「Access Control (CAM) を 選択 し ます 。 
Home > Subscriptions > Azure-Qualys-Demo - Access control (IAM) 


oM Azure-Qualys-Demo - Access control (IAM) 
回 Subscription 


| ] Search (C tri 


Q Overview 


ll Activity loq 1 


a Access control (IAM) 


Check access 


Review the level of access a user, group, service principal, e Add a role assignment 
X Diagnose and solve problems or managed identity has to this resource. Learn more [Z a 
j Grant access to resources at this scope by 
O security Find 9 assigning a role to a user, group, service 
B nas Azure AD user, group, or service principal v | principal, or managed identity. 
vents 


Search by name or email address v | Ad | Learn more [2 
Cost Management 


$1 Cost analysis 
[E View role assignments 


1$) Budgets $ 
aad View the users, groups, service principals 
M Advisor recommendations and managed identities that have role 
assignments granting them access at this 
Billing scope. 
! Invoices 3 View Learn more [5 


2.0 re (プク リク ーション に 対す る リー クロ ー ル と ん スク ムロ ーー ル ) る 割り 当て ます 、 
リー ダ ロ ー ル の 割り 当て 
a- 作成 し た アプ リケーション に アデ アク セス 許可 を 付与 する に は 、「Access Control (AM) を 選択 し ます 。 


b- [Add] > [Add arole assignment] に 移動 し ます 。 リ ー ダ ロー ル を 選択 し ます 。「 リ ー ダ 」 は すべ て を 
表示 で きま す が 、 サ プス クリ プシ ョ ン の リソー ス に 変更 を 加え る こと は 一 切 で きま せん 。 


c- lAssign Access to]」 ドロ ッ プ ダウ ン で 、「Azure AD user, group, or service principal] を 選択 し ます 。 
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d= 「Select」 ド ロップ ダウ ン に アプ リケーション 名 を 入力 し 、 作 成 し た アプ リケーション を 選択 し ます 。 
Role 6 
Reader 
Assign access to & 
Azure AD user, group, or application 
Select & 


Azure connector 


Selected members: 


Azure connector 
A Remove 


e- [Save] を クリ ッ ク し て 、 ロ ー ル の 割り 当て を 終了 し ます 。 ア プリ ケー ショ ン は 、 ロ ー ル の 対象 範囲 で 
ロー ル に 割り 当て られ て いる ユー ザ の リス ト に 表示 され ます 。 


カス タム ロー ル の 割り 当て 
カス タム ロー ル を 割り 当て る 前 に 、 カ スタ ムロ ー ル (QRole) を 作成 し ます 。 カ スタ ムロ ー ル の 作成 


a- [Add]; —> [Add a role assignment] に 移動 し ます 。 作成 した カス タム ロー ル (ORole) を 選択 し ます 。 
カス タム ロー ル は 表示 は で きま す が 、 サ ブス クリ プシ ョ ン の リソー ス に 変更 を 加え る こと は 一 切 で きま せ 
ん 。 


b- 「Assign Access to] ドロ ッ プ ダウ ン で 、「Azure AD user, group, or service principal] を 選択 し ます 。 
c= [Seko] ドロ ッ プ ダウ ン に アプ リケーション 名 を 入力 し 、 作 成 し た アプ リケーション を 選択 し ます 。 


d- 「Save」 を クリ ッ ク し 、 ロ ー ル の 割り 当て を 終了 し ます 。 アプ リケーション は 、 ロー ル の 対象 範囲 で ロー 
ル に 割り 当て られ て いる ユー ザ の リス ト に 表示 され ます 。 


確認 し た サブ スク リプ ショ ン ID を コピ ー し 、「Qualys Azure Connector) 画面 の コネ クタ の 詳細 情報 に 貼り 
付け 、「Create Connector] を クリ ッ ク し ます 。 


カス タム ロー ル の 作成 


Azure CLI シェ ルコ マン ド を 実行 し ます 。 次 の コン テン ツ を 使用 し て JSON ファ イル を 作成 し ます 。 ユ コン テ 
ン ツ を 編集 し 、 サブ スク リプ ショ ン ID を 追加 し ます 。 


| 


"Name": "OROole", 
"IsCustom": true, 
"Description": "Role for Qualys Connector", 
"Actions": 

[ 

"Microsoft.Web/sites/config/list/action" 

um 

"NotActions": [ ], 

"AssignableScopes": 
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[ 
"/subscriptions/XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX' 


| 


Run コマ ンド : 


az role definition create --role-definition «Role-Definition- 
Json file» 


参照 


F n 
https://docs.microsoft.com/ja-]p/azure/role-based-access-control/custom-roles-cli 


https://docs.microsoft.com/Ja-]p/azure/role-based-access-control/tutorial-custom-role-powershell 


https://docs.microsoft.com/ja-]p/azure/role-based-access-control/role-assignments-portal 


Azure リソー スイ ン ベ ン トリ 

Azure コネ クタ を 設定 する と 、Azure アカ ウン ト に ある リソー ス の 検出 が 始ま り ま す 。 リ ソー ス の イン ベン 
トリ と メタ デー タ は Qualys ポー タル に 送信 され ます 。 収 集 さ きれ る リソー ス の リス ト は 、 リ ソー スリ スト を 
参照 し て くだ さい 。 更新 され た リソー ス を 取得 する に は 、Azure コネ クタ の クイ ッ ク ア クション メニ ュー で 
「Run」 を 選択 する 必要 が あり ます 。 


リソー スリ スト 
CloudView は 次 の Azure リソー ス を 検出 し 、 対 応 す る 属性 を 取得 し ます 。 
- SQL Server 


- SQL Server Database 
- Resource Group 
- Virtual Network 
- Virtual Machine 


- Network Security Group 
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Google Cloud Platform 


Google Cloud Platform プロ ジェ クト か ら リ ソー ス 情 報 を 収集 する Google Cloud Platform (GCP) コネ ク 
タ を 設定 し ます 。 操 作 は わずか 数 分 で 完了 し ます 。 


GCP コネ クタ を 作成 する 手順 
Configuration] — [Google Cloud Platform] タブ に 移動 し 、「Create Connector) を クリ ッ ク LÆT, 
CloudView - DASHBOARD RESOURCES MONITOR POLICY REPORTS 
の 1 ーー 
Configuration Amazon Web Services Microsoft Azure Access Management 


で se 


(1) コネ クタ の 名 前 と 説明 (オプ ショ ン ) を 入力 し ます 。 


<— Create GCP Connector 


Enable access to some API's in API library 


Connector Details Enable access to some API's in API library 


Give your connector a name and provide a description (optional). 1. Log on to Google Cloud Platform (GCP) console. 


2. Select the organization. 
Account Name 


r 3. Select a project or create a new project. Ensure that you 
My GCP Connector select the correct project. 


4. In the left sidebar, navigate to APIs and Services » Library. 


Description 5. In API Library, click the following APIs and enable them. If 
My GCP Connector 7] you need help imm. the API, use the search field. 
に ーー -Compute Engine API 
-Cloud Resource Manager API 
-Kubernetes Engine API 
-Cloud SQL Admin API 


Create service account and download configuration file 
Authentication Details 3 


Configuration File 


q 
Wa =Æ Drop file here to attach or browse 


dl my-project-1513669048551-0e2c718a8070.json 


( Create Connector 3 


(2) GCP コン ソー ル か ら 構 成 フ ァイル を ダウ ン ロ ー ド し 、Qualys クラ ウド プラ ッ ト フ ォ ー ム に アッ プロ ー 
FLT GCP コネ クタ の 作成 を 完了 する 必要 が あり ます 。 


(3) l| Create Connector; を クリ ッ ク し ます 。 
以上 で 完了 で す 。 コネクタ は GCP と の 接続 を 確立 し て 各 リ ー ジ ョ ン の リソー ス の 検出 を 開始 し ます 。 
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構成 JSON) ファ イル を GCP コン ツー ル か ら ダ ウン ロー ド し 、 必 要 な 認証 情報 を 設定 する 手順 を 説明 し 
ます 。 API ライ ブラ リ に ある 必要 な API へ の アク セス を 有効 に する 必要 が あり ます 。 


Compute Engine と Resource Manager API へ の アク セス を 有効 に する 
(1) Google Cloud Platform (GCP) コン ソー ル に 移動 し ます 。 
(2) 組織 を 選択 し ます 。 


(3) プロ ジェ クト を 選択 する か 、 新 し い プ ロジ ェクト を 作成 し ます 。 正 し い プ ロジ ェクト を 選択 し て いる こ 
と を 確認 し て くだ さい 。 


Select from ouauys.coM v e NEW PROJECT 


qualys.com 


| Q, search projec e 


No organization 
RECENT heo 


Name ID 
v $e CV360-PP Q my-project-1513669048551 


Bi qualys.com @ 199508700578 


CANCEL 


(4) 左側 の サイ ド バ ー で 、「APIs and Services] — 「Library」 に 移動 し ます 。 


Google Cloud Platform $e CV360-PP マ 


人 Home DASHBOARD 


ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー ュ 


x Marketplace 


BE Billing 
APIs & Servi 
EI : inn Ih T Dashboard 
T Support > Library 
Credentials 
O IAM & admin > 


*m Getting started 


e Security > 
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(5 API ライ ブラ リ で 次 の API を クリ ッ ク し 、 有 効 に し ます 。API の 検索 に は 、 検 索 フ ィ ー ル ド を 使用 で 
きま す 。 


- Compute Engine API 

- Cloud Resource Manager API 

- Compute Engine API 

- Kubernetes Engine API 

- Cloud SOL Admin API 

サー ビス アカ ウン ト の 作成 と 構成 ファ イル の ダウ ン ロ ー ド 
(D GCP コン ソ ツール に ログ イン し 、 プ ロジ ェクト を 選択 し ます 。 


2) 左側 の サイ ド バ ー で 、「IAM & admin! Service accounts」 に 移動 し 、ICREATE SERVICE ACCOUNT 」 
を クリ ッ ク し ます 。 サ ービス アカ ウン ト の 名 前 と 説明 を 入力 し 、「Create」 を クリ ッ ク し ます 。 


Google Cloud Platform — $e CV360-PP v 


3 IAM & admin Create service account 


+2 JAM &t Service account details — t€ Grant this service account access to project (optional) 


€ Identity & Organization 


Organization policies Service account details 
Service account name 
回 Quotas Name of your service account 


- Display name for this service account 
oz Service accounts 


Service account ID 
Labels name-of-your-service-account @my-project-1513669048551.iamgs X G 


Privacy & Security Service account description 
This is optional description 


Describe what this service account will do 


+ 
© 
XX — Settings 
© 


Cryptographic keys 


E Identity-Aware Proxy 
PI s CANCEL 
um 


Rnlac 
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(3)「Viewer」 役 割 を 選択 し て サー ビス アカ ウン ト に 少な く と も 読み 取り アク セス 権 を 割り 当て て 「Continue」 
を クリ ウッ ク し ます 


= Google Cloud Platform $e CV360-PP w Q 
3 IAM & admin Create service account 
‘2 IAM @ Service account details — @ Grant this service account access to project (optional) 


© Identity & Organization 


BJ Organization policies Service account permissions (optional) 


Grant this service account access to CV360-PP so that it has permission to complete 


回 Quotas specific actions on the resources in your project. Learn more 


Role 
Viewer 


ez Service accounts 


y — Labels Read access to all resources. 
Q Privacy & Security 十 ADD ANOTHER ROLE 
X — Settings 

⑳ Cryptographic keys — 


(4) | CREATE KEY」 を クリ ッ ク し 、 キ ー の タイ プ で 「JSON」 を 選択 し て 「Create」 を クリ ッ ク し ます 。 


Create key (optional) 


| Download a file that contains the private key. Store the file securely because this key 
cant be recovered if lost. However, if you are unsure why you need a key, skip this step 


for now. 
十 CREATE KEY 
IS Create key (optional) 
| DONE | CANCEL Download a file that contains the private key. Store the file securely because this key 


cant be recovered if lost. However, if you are unsure why you need a key, skip this step 
| for now. 


Key type 
(8) JSON 
Recommended 


Q P12 


For backward compatibility with code using the P12 format 


CREATE CANCEL 


| 秘密 鍵 が コン ピュ ー タ に 保存 され た 」 こ と を 伝え る メッ セー ジ が 表示 され 、JSON ファ イル が コン ピュ ー 
タタ (に こ に ダウンロー ド さ れ ま す 。「Close」 を クリ ッ ク し 、「Done」 を クリ ッ ク し ます 。 


構成 JSON) ファ イル を アッ プロ ー ド し 、Qualys クラ ウド プラ ッ ト フ ォ ー ム で [Create Connector」 を ク 
リッ ク し て GCP コネ クタ の 作成 を 完了 し ます 。 
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GCP リソー スイ ン ベ ン トリ 

Google Cloud Platform (GCP) コネ クタ を 設定 する と 、GCP アカ ウン ト に ある リソー ス の 検出 が 始ま り ま 
す 。 リ ソー ス の イン ベン トリ と メタ デー タ は Qualys ポー タル に 送信 され ます 。 収集 さ れる リソー ス の リス 
ト は 、 リ ソー スリ スト を 参照 し て くだ さい 。 更新 され た リソー ス を 取得 する に は 、GCP コネ クタ の クイ ッ 
クア クシ ョ ン メ ニュ ー で 「Run」 を 選択 する 必要 が あり ます 。 

リソー スリ スト 

CloudView は 次 の GCP リソー ス を 検出 し 、 対 応 す る 属性 を 取得 し ます 。 

- VM Instances 

- Networks 


- Firewall Rules 


- Subnetworks 
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ユー ザ の コネ クタ アク セス の 管理 


ュー ザ を 作成 し て ロー ル を 割り 当て る こと で 、 定義 する ロー ル に 従っ て アク セス 権 を 付与 する こと が で きま 
す 。 複 数 の ユー ザ ロ ー ル が サポ ー ト され て いま す 。 


> マ 深 一 シヤ ャ ロール を 持つ ヨー ザ マイ ネー シ ャ ロー ル を 持つ ニー ザ は 、 サ プス クリ アン ョ ン 内 の すべ て の リ 
ソー ス へ の 完全 な 権限 と アデ クセ ス 権 を 持っ て いる 最高 権限 の ユー ザ で す 。 マネ ー ジ ャ ロー ル を 持つ ユー ザ の 
みか が ラ ニー ザ を 作成 し ロー ル を 割り 当て る こと が で きま す 。 


- サブ ュー ザ : マネ ー ジ ャ ロー ル を 持つ ュ ユーザ は 、2 種類 の サブ ュ ー ザ を 作成 で きま す 。 ロ ー ル に 割り 当て 
る パー ミッ ショ ン に 応じ て 、 サブ ュー ザ は すべ て の 権限 を 持つ ュー ザ と 読み 取り 専用 権限 を 持つ ュー ザ に 分 
類 で きま す 。 


すべ て の 権限 : サブ プ テ ユーザ に は 、 他 の ユー ザ の 作成 と 管理 を 除く 、 CloudView 内 の すべ て の 権限 が 付与 され 
ます 。 詳細 に つい て は 、 サ ブユ ー ザ (すべ て の 権限 ) を 参照 し て くだ さい 。 


リー タダ 権限 : リー ダ ロ ー ル を 持つ サブ ユー ザ は 、 CloudView モジ ュー ル に 表示 され る デー タ の 閲覧 の み が で 
きま うす 。 


ユー ザ パ バ パー ミッション 
次 の 表 で 、 ユ ー ザ ロー ル に 付与 され た 権限 を 比較 し ます 。 


操作 ユー ザ サブ ユー ザ サブ ユー ザ 
(マネ ー ジ ャ ロー ル ) (リー ダ ロ ー ル ) 

新しい ユー ザ の 作成 あり な し が し 

サブ ユー ザ へ の アク セス 権 の 付与 あり な し な し 

既存 ユー ザ の アク セス 権 の 更新 あり な し Zl 

グル ー プ の 作成 と コネ クタ へ の 割り 当て あり ab eb 

コネ クタ の 管理 あり な し な し 

ポリ シー と コン トロ ー ル の 管理 あり あり Zi 

コン トロ ー ル の カス タマ イズ あり あり な し 

レポ ー ト あり あり 閲覧 の み 

ダッ シラ ボー ドド あり あり あり 
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新しい ユー ザ : スコ ー プ と パー ミッ ショ ン 


マネ ー ジ ャ ロー ル を 持つ ユー ザ の み が 、 新規 ユ ー ザ を 作成 し 、 ユー ザ に パー ミッ ショ ン を 付与 する こと が で 
きま す 。 手 順 の 概要 を 説明 し ます 。 


ニー の 作成 

ュ ユーザ へ の ロー ル の 割り 当て 

な ーー ザ の アク セス の 管理 (コネ クタ ク の グル ー ツ 化 ) 
ラー ザ の アク セス の 管理 


ユー ザ の 作成 


マネ ー ジ ャ ロー ル を 持つ ユー ザ は 、 サブ スク リプ ショ ン の サー ビス レベ ル で 許可 され た 最大 数 まで の ユー ザ 
を 追加 で きま す 。 


グイ ックス ァ アッ グ 


(D リー ダ ュ ユー ザ を 作成 し ます 。「Administration」 モジ ュー ル つ ー「 ユ ー ザ 管理 」 — 「 ユ ー ザ を 作成 」 つ 「 リ ー 
ダグ ラー ザ を 作成 」 を 刀 択 し ます 。 


Administration w 


ユー ザ アク ショ ン ロ グ 


ロー ル 管 理 テ フ ォ ルト 


ミッ ショ ン 、 オ プシ ョ ン 、 セ キュ リティ ) を 指定 し ます 。 


ユー ザ ロ ー ル に 最低 で も リー ダー ロー ル を 選択 し て くだ さい 。 その 他 の オプ ショ ン は デフ ォ ル ト 設 定 の まま 
で も か まい ませ ん 。 


(3) 「 保 存 」 を クリ ッ ク し ます 。 
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ユー ザ パ ー ミ ッ シ ョ ン を 付与 する 方 法 
ロー ル を 定義 し て 、 定 義 し た ロー ル を ユー ザ に 割り 当て ます 。 定義 むる ロー ル に よっ て 、 ユ ー ザ に 割り 当て 
られ る パー ミッ ショ ン が 決定 し ます 。 こ れ は 、 ユ ー ザ の アカ ウン ト を 編集 し て 行い ます 。 例 えば 、 完 全 な ア 
クセ ス 権 を 持つ ユー ザ を 作成 する に は 、 ロー ル 内 の すべ て の パー ミッ ショ ン を 有効 に し 、 ユ ー ザ に ロー ル を 
割り 当て る 必要 が あり ます 。 一 度 に 複数 の ユー ザ に 完全 な アク セス 権 を 割り 当て る ロー ル を 割り 当て る こと 
が で きま す 。 こ ちら を 参照 し て くだ さい 。 


新規 ユー ザ の 追加 後 

新規 ユー ザ を 作成 する と 、 ユ ー ザ アカ ウン トリ スト に ユー ザ が 表示 され 、 ス テー タス が 「Pending Activation] 
と 表示 され ます 。 新しい アカ ウン ト の 証明 書 と ログ イン 手順 へ の 1 回 限り 有効 な セキ ュ ア リン ク が 記載 され 
た 登録 用 メー ル が 、 新 し い ユ ー ザ に 自動 的 に 送信 され ます 。 登録 用 メー ル は 、 ユ ー ザ の アカ ウン ト に 定義 

れ も て いる の 世 メー ル ア ドレ ス に 送信 され ます 。 初め て ログ イン すず する と 。、 ラ ニー ザ の ステ デ ー タ クス は Active] A 
DUX. 


ユー ザ へ の ロー ル の 割り 当て 


管理 ユー ティ リティ (アプ リケーション ピッ カー の 最後 の オプ ショ ン ) を 使用 し て 、 ユ ー ザ の 表示 お よび 管 
理 を 行い 、CloudView アプ リケーション へ の アク セス 権 を 付与 し ます 。「User Management] タブ に 、 各 
ユー ザ が アク セス 権 を 所 有する アプ リケーション が 表示 され ます 。 ア クセ ス 権 は ロー ル ベ ー ス で す 。 


詳細 に つい て は 、 管 理 ユ ー テ ィ リ ティ の オン ライ ン ヘ ルプ を 参照 し て くだ さい 、。 


手順 に つい て 

管理 ユー ティ リティ で 、「Users」 つ 「Role Management」 を 選択 し ます 。 こ こ で 、 新 規 ロ ー ル を 作成 し 、 既 
存 の ロー ル の パー ミッ ショ ン を 変更 し ます 。 こ こ か ら ユ ー ザ に ロー ル を すばやく 割り 当て る こと も で きま 
す 。 

この タブ が 表示 され な い 場 合 は 、1) 完全 な パー ミッ ショ ン と スコ ー プ また は 2) 管理 ユー ティ リティ で 
「Access Role Management Section] パー ミッ ショ ン が 有効 に な っ て いる ロー ル が 必要 で す 。 


ロー ル の 種類 に つい て 
の 2 の の リア ュー が を 謗 療 で きま す 。 
- すべ て の 権限 を 持つ サブ ユー ザ : 「CLOUDVIEW user) と いう 名 前 の 事前 定義 済み ロー ル が 提供 され で てい 


ます 。 この ロー ル を 必要 な ユー ザ に 割り 当て る と 、 ユ ー ザ に CloudView で の 完全 アク セス 権 が 付与 され ま 
す 。 こ ちら を 参照 し て くだ さい 。 


- リー タダ 権限 を 持つ サブ ユー ザ : リー ダ ロ ー ル を 持つ ユー ザ は 、CloudView モジ ュー ル に 表示 され る デー タ 
の 閲覧 の み が で きま す 。「New Role] を クリ ッ ク し ます 。 ロー ル に 名 前 と 説明 を 指定 し 、 モジ ュー ル と 、 ロー 
ル を 制 り 当 て る と き に ユー ザ に 付与 され る 権限 の パー ミッ ショ ン を 選択 し ます 。 こ ちら を 参照 し て くだ さい 。 


ユー ザ に ロー ル を 割り 当て る 方 法 

割り 当て る ロー ル を 選択 し 、「 ク イッ クア クシ ョ ン 」 メ ニュ ー か ら 「 ユ ー ザ に 追加 」 を 選択 し ます 。 割 り 当 
て る ユー ザ を 指定 し 、「 保 存 」 を クリ ッ ク し ます 。 同 様 の 方 法 で 、 ユ ー ザ か ら ロ ー ル を 削除 で きま す 。 削除 
する に は 、「 ユ ー ザ か ら 削 除 」 を 選択 する だ け で す 。 

ロー ル を 編集 する 方 法 

リス ト の ロー ル を 選択 し 、「 ク イッ クア クシ ョ ン 」 メ ニュ ー か ら 「 編 集 」 を 選択 し ます 。 
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ロー ル 釧 や 説明 を 変更 し た り 、 割 り 当 て 済み パー ミッ ショ ン を 編集 し た り で きま す 。 ロー ル に 加え た 変更 は 
その ロー ル が 割り 当て られ た すべ て の ユー ザ に 適用 され ます 。 


飾 告 - ロー ル か ら UI アク セス パー ミッ ショ ン を 削除 する 際 の 注意 点 が あり ます 。 UI アク セス 
2 ミッション パ が 肖 当 くら 0 だ ュー ノバ 作 0 く 0 と NII つの 2 いら eese ree TOO et op oun 
SE 


— 


バ パーミッション に つい て 
ロー ル の パー ミッ ショ ン を 編集 する と き に 、 デ プリ ケー ショ ン の アデ クセ ス 権 、 ア クセ ス 可 能 な モジ ュー ル 、 
現在 の ロー ル を 持つ ユー ザ の モジ ュー ル 内 の パー ミッ ショ ン を 定義 で きま す 。 


ユー ザ が アク セス で きる よう CloudView モジ ュー ル を 割り 当て て いる こと を 確認 し て くだ さい 。 グループ 
の タイ トル を クリ ッ ク し て 、 パ ーー ミッション を 展開 し ます 。 次 に ロー ル に 割り 当て る パー ミッ ショ ン を 選択 
し の 


- すべ て の 権限 : サブ プ テ ユー ザ に は 、 他 の ユー ザ の 作成 と 管理 を 除く 、CloudView 内 の すべ て の 権限 が 付与 さ 
れ ま す 。 詳細 に つい て は 、 サ ブユ ー ザ (すべ て の 権限 ) ERLT Z A, 


リー ダ 権 限 : リー ダ ロ ー ル を 持つ サブ ユー ザ は 、 CloudView モジ ュー ル に 表示 され る デー タ の 閲覧 の み が で 
きま す 。 詳細 に つい て は 、 サ ブユ ー ザ (リー ダ 権 限 ) を 参照 し て くだ さい ^。 


ロー ル の 削除 

ロー ル は 削除 で きま す 。 ロ ー ル を 選択 し 、「 ク イッ クア クシ ョ ン 」 メ ニュ ー か ら | 削除 」 を 選択 し ます 。 削 
除 し た ロー ル は これ 以降 、 ユ ー ザ に 割り 当て られ な く な り ま す 。 ロ ー ル は 、( こ れ ま で に その ロー ル を 割り 
当て られ て いた ) すべ て の ユー ザ の アカ ウン ト か ら 自 動 的 に 削除 され 、 その ユー ザ に は これ 以降 、 そ の ロー 
ルレ で 付与 され て いた パー ミッ ショ ン が な く な り ま す 。 ロール か ら UI アク セス パー ミッ ショ ン を 削除 する 際 
の 注意 点 が あり ます 。 UI アク セス パー ミッ ショ ン が 割り 当て られ た ロー ル が 少な く と も 1 つ は な いと 、 ユ ー 
ザ は UI に ログ イン で きま せん 。 


注記 : A I e 事前 定義 済み の ロー ル を 削除 し た 
り し た 場合 、 編 集 す る ロー ル に 関連 付け られ て いる ユー ザ の アク セス 動作 が 変わ る 可能 性 が あり 
ます 


ユー ザ の アク セス の 管理 (コネ クタ の グル ー プ 化 ) 

グル ー プ を 使用 し て サブ ュー ザ の アク セス を 制御 で きる よう に な り ま し た 。 グ ルー プ を 使用 する こと で 、 コ 
ネネ クタ の 整理 と コネ クタ へ の ユー ザ ア ク セス 管理 が 容易 に な り ま す 。 

グル ー プ 

コネ クダ に グル ー プ を 適用 し 、 コ ネ ク タ グ ルー プ を 作成 し た り 、 コ ネ ク タ に 固有 の グル ー プ を 使用 し て コネ 
クタ を 分 けた りす る こと が で きま す 。 グ ルー プ を 使用 し て 、 作 成す る ユー ザ に アク セス 権 を 提供 し た り 、 ア 
クセ ス 権 を 制限 し た り し ます 。 

コネ クタ へ の グル ー プ の 割り 当て 

コネ クタ グル ー プ を 作成 する 方 法 と ユー ザ に 特定 の コネ クタ へ の アク セス 権 を 与え る 方 法 を 説明 し ます 。 
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(1) [Configuration] タブ を 選択 し 、 コネクタ グル ー プ を 作成 する クラ ウド プロ バイ ダ (AWS, Azure, ¥ 
た は GCP) を 選択 し ます 。 


複数 の アカ ウン ト ま た は 複数 の コネ クタ が ある 場合 に 、 グ ルー プ を 使用 し て 特定 の アカ ウン ト ま た は コネ ク 
タタ に アク セス を 制限 で きま す 。 


(2) アク セス を 設定 する コネ クタ を 選択 し 、「Quick Actions] メニュー から 「Assign Group] を クリ ッ ク し 
EC 


CloudView DASHBOARD RESOURCES MONITOR POLICY REPORTS CONFIGURATION 


Configuration Amazon Web Services 


Microsoft Azure Google Cloud Platform 


Access Management 
Q, search... — 
Azure_2 1d767489-da0c-4948-a285... 
Quick Actions v Last Synced On September 30, 2019 201 PM 
Azure 1 fiew 9de9e0a7-4567-4812-917d-. Regions Di 
Last Synced On September 30, 2019 2-02 PM 

Run 
Delete 

Show Resources 


(3) グル ー プ の 名 前 を 入力 し 、「Create」 を クリ ッ ク し て 「Save」 を クリ ッ ク し ます 。 


「Create」 を クリ ッ ク す る と 、 


Assign Group to Connector グル ー プ が 作成 され ます 。 nn, 


Begin typing to create a new group or select existing groups. 


Tnm. ^ 
Sample Group| n { Create lj 
poc -—-— 

No result found 


* 
等 
. 
s 
* 
* 
* 
* 


` [No Result found」 と 表示 され る まで グル ー プ 名 を 
入力 し ます 。 


サブ ユー ザ に グル ー プ を 割り 当て る に は 、 ユ ー ザ に グル ー プ を 関連 付け る 必要 が あり ます 。 詳細 に つい て は 、 
ュ ユーザ の アク セス の 管理 を 参照 し て くだ さい 。 
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ユー ザ の コネ クタ アク セス の 管理 
新しい ユー ザ : スコ ー プ と パー ミッ ショ ン 


すべ て の コネ クタ へ の ユー ザ ア ク セス の 限定 


Bec coUe SI usce yp Am ass em seb wee ue vestes kae eros 
NOD UTR ULM Mus Ba すべ て の コネ クタ へ の アク セス を 限定 する に は 、 グ ルー プ を 
(DU uc xc zm UD EROS 2 7 


(1) 「Configuration」 タブ を 選択 し 、 コネ クタ グル ー プ を 作成 する クラ ウド プロ バイ ダ を 選択 し ます 。 
(2) コネ クタ を 選択 し 、「OQuick Actions] メニ ュー か ら lAssign Group」 を クリ ッ ク し ます 。 


(3) グル ー プ の 名 前 を 入力 し 、「Create」 を クリ ッ ク し ます 。「Save」 を クリ ッ ク し な いで 、「Cancel」 を ク 
sez, quse 


Assign Mans to Connector e 「Create」 を 
クリ ッ ク し ます 。 


empty group x [ Create 
Sm 


Begin typing to create a new group or select existing groups. 


&p グル ー プ に 名 前 を 指定 し ます 。 


o 「Cancel」 を クリ ッ ク し ます 。 


グル ー プ が 作成 され まし た が 、 コ ネ ク タ に は 割り 当て られ て いま せん 。「Access Management] タブ を 使用 
し て この グル ー プ を ユー ザ に 割り 当て ます 。 ユ ー ザ の アカ ウン ト へ の アク セス が 制限 され まし た 。 


この 場合 、 コ ネ ク タ へ の アク セス 権 を 付与 する に は 、 コ ネ ク タ に 関連 付け られ て いる 別 の グル ー プ を 割り 当 
て る 必要 が あり ます 。 
ユー ザ の アク セス の 管理 


マネ ー ジ ャ ロー ル を 持つ ユー ザ は 、 サブ プ ュ ユー ザ に アク セス 権 を 割り 当て 、 サ プ ユ ー ザ が デア クセ ス で きる コネ 
クタ を 決定 する こと が で きる よう に な り ま し た 。「Access Management] タブ に 、CloudView モジ ュー ル に 
ナク で き の サ アア ョ ヨー ザ ナ の すす の で 表示 され ます 


サブ ユー ザ が 表示 され な い 場 合 、 サ ブユ ー ザ を 作成 で きま す 。 サ ブユ ー ザ を 新規 作成 する に は 、 管 理 ユ ー 
ティ リティ に アク セス し 、 新 規 エ ユー ザ を 作成 し 、 各 ユー ザ に ロー ル を 割り 当て ます 。 


ユー ザ へ の スコ ー プ の 割り 当て 
(1) [Configuration] — [Access Management] タブ を 選択 し ます 。 


Access Management] タブ は 、 マ ネー ジャ ロー ル を 持つ ユー ザ の み が 使 用 で きま す 。 マ ネー ジャ ロー ル を 
本 の つの ロコ ローザ きき 、 サ ブラ ニー ザ の アク セス を ん 管理 で きま す 。 
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ユー ザ の コネ クタ アク セス の 管理 
新しい ユー ザ : スコ ー プ と パー ミッ ショ ン 


(2) ユー ザ を 選択 し 、「Quick Actions] メニ ュー か ら [Manage Access] を クリ ッ ク し ます 。 


€— Access Details: quays am56 


^ 


Access Details e 
quays. am56 
Assign the connectors and regions to define the scope for quays_am56. ^" 
Groups User Details 
Manage the access based on groups ID: 150271705 
Username: quays. am56 


There are no Groups selected 
Email : 


e 
Modules: g 75 g 0o cJ 


Role Details 
Connectors and Regions 
g CLOUDVIEW U...: | CLOUDVIEW.ACCESS 
Manage the access for each cloud provider by assigning connectors or regions 
UI.ACCESS 
aws Amazon Web Services 
Manage AWS access by accounts and regions CLOUDVIEW.UI.ACCESS 


1 more 


There are no Accounts or Regions selected 


Add Accounts or Regions e 


JO SRGPOYZCEATGMESAÓ5CUCXE2004T7É:avie)5 zd, 


- グル ー プ の 使用 
サブ ユー ザ に グル ー プ を 割り 当て る に は 、 ユ ー ザ に グル ー プ を 関連 付け る 必要 が あり ます 。 


Manage access for groups 


Assign Group of connectors to the user to define what the user can manage. 


Connector Groups 


sample group 


[Add Groups] を クリ ッ ク し 、 グ ルー プ を 選択 し 、「Save」 を クリ ッ ク し て グル ー プ を ユー ザ に 関連 付け ます 。 
uocem a LC こ 属す る 複数 の コネ クタ に 割り 当て られ た 場合 、 ユ ー ザ は グ 
ルー プ に 関連 付け られ て いる すべ て の コネ クタ に アク セス で きま す 。 


- コネ クタ の 使用 

サブ ユー ザ の スコ ー プ を 定義 する 場合 、 各 クラ ウド プロ バイ ダ の コネ クタ を 直接 選択 し 、 サ ブユ ー ザ に 関連 
和仁 けら こと の で さき ます サフ コー ザ き 、 サ ブ ョ ー ぴ に 当り 当て られ だ た すべ て の 紹 和 キク ク に / ク セス で きる こよ 
う (に だ り ま ます 。 
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ユー ザ の コネ クタ アク セス の 管理 
既存 ユー ザ の スコ ー プ の 定義 


[Connectors] と !IRegions」 項 で 、 特 定 の クラ ウド プロ バイ ダ の リン ク を クリ ッ ク し 、 コ ネ ク タ を 選択 し 、 
Save] を クリ ッ ク し ます 。 


同様 に 、 複 数 の クラ ウド プロ バイ ダ か ら 複 数 の コネ クタ を 選択 で きま す 。AWS で は 、 コ ネ ク タ と リー ジョ 
ン も 選択 で きま す 。 


Manage access for AWS 


Assign Connector ar Region ta the user to define what the user can manage. 


Connectors (Accounts) 


AWS - 
Regions 
Mumbai * 


既存 ユー ザ の スコ ー ブ の 定義 


マネ ー ジ ャ ロー ル を 持つ ユー ザ の み が 、 既存 の ユー ザ に パー ミッ ショ ン を 付与 し 、 そ の パー ミッ ショ ン を 変 
更 す る こと が で きま す 。 手順 の 概要 を 説明 し ます 。 


ュー ザ の アク セス の 管理 (コネ クタ の グル ー プ 化 ) 
Sheep) deo E SE 
詳細 に つい て は 、 ロ ー ル ベー ス の アク セス 管理 を 参照 し て くだ さい 。 
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ユー ザ の コネ クタ アク セス の 管理 
サブ ユー ザ (すべ て の 権限 ) 


サブ ユー ザ (すべ て の 権限 ) 


完全 アク セス パー ミッ ショ ン を 付与 され た 事前 定義 済み の ロー ル (CLOUDVIEW User) が 提供 され て いま 
す 。CloudView で の 完全 アク セス 権 を 付与 する に は 、 事 前 定義 済み の ロー ル (CLOUDVIEW User) を ユー 
ザ に 割り 当て る だ け で す 。 


完全 アク セス ロー ル を 持つ ユー ザ は 、 ニ ヨネ クタ の 作成 、 ポ リ シ ー の 管理 、 コ ント ロー ル の 管理 な ど 、 ユー ザ 
が 使用 で きる すべ て の 操作 を 実行 で きま す 。 


パー ミッ ショ ン : マ ネー ジ ャ ロー ル を 持つ ユー ザ の み が Administration モジ ュー ル に アク セス し 、 サブ ユー 
ザ を 作成 で きま す 。 


完全 アク セス 権 を 持つ サブ ユー ザ が で きる 操作 

完全 アク セス ロー ル を 持つ ユー ザ は 、 以 下 の 操 作 が で きま す 。 
- コネ クタ の 管理 

= ント ドー ル と ポリ ンー の 管理 

- ダッ シュ ボー ド の 作成 と 編集 

- グル ー プ (コネ クタ グル ー プ ) の 作成 と 編集 

= ザジ ラ テー ザ の 作成 と グル レー プ の 割り 当て 

クイ ックス テッ プ 


(D リー ダ ュ ユー ザ を 作成 し ます 。「Administration」 モジ ュー ルー 「 ユ ー ザ 管理 」 つ 「 ユ ー ザ を 作成 」 つ 「 リ ー 
グラ ー ザ を 作成 | を 選択 し ます 。 


Administration w 


ユー ザ 。 アク ショ ン ロ グ 
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ユー ザ の コネ クタ アク セス の 管理 
サブ ユー ザ (すべ て の 権限 ) 


(2) 管理 ユー ティ リティ で 、「 ロ ー ル 管理 」 タ ブ を 選択 し 、「CLOUDVIEW User」 を 選択 し 、「 ク イッ クア 
クション | メニ ミー が ら リラ ウー ザ に 沼川 | を 表 代 し ます 


Administration w 


ユー ザ アク ショ ン ロ グ 


rl ユー ザ 管 理 コー ザ 管 理 テー リド 


ゴロ パティ を 入力 し て ロー ル を 標 索 


国 


[E] CS user 


C| FlM M 
anager | J(—2w 23-86 
回 ボー ミッ ショ ヨン 在 削 昨 


また は 、 新 規 ロ ー ル を 作成 し 、「CLOUDVIEW UI Access」 と 「CLOUDVIEW API Access」 の 2 つの パー 
ミツ ジョ シン を ロー ル に 割り 当て で て 、 そ の ロー ル を 必要 な ラー ザ に 割り 当て る こと も で きま す 、 


ステ ッ プ 273 ご の ロー ル の パー ミッ シヨ ン を 編集 
4 Hoa この アプ リケーション へ の ユー ザ の アク セス カ 法 を 選択 
* UI アウ セス w API アウ セス 
Q バー ミッション 
3 設定 内 容 を 確認 この ロー ル が アク セス する モジ ュー ル を 選択 。 名 ロー ル に 付与 する パー ミッ ショ ン を 定義 で きま す 
モジ ュー ル モジ ュー ル を 検索 し て リス ト へ 追加 x] 
モジ ュー ル 和 列 ロ ー ル ルー ミッ ショ ン (21 3^ CBE 


EI ve = 


* CLOUDVIEW Permissions (2/4) 
LJ CLOUDVIEW UI Access 
LJ CLOUDVIEW API Access 


w CLOUDVIEW Readonly Access 


W CLOUDVIEW API Readonly Access 
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ユー ザ の コネ クタ アク セス の 管理 
サブ ユー ザ (すべ て の 権限 ) 


注記 : 4 つ す べ て の パー ミッ ショ ン を 有効 に し た 場合 、 読 み 取り 専 用 パー ミッ ショ ン が 優先 され 、 
サブ ユー ザ は 読み 取り パー ミッ ショ ン の み を 付与 され ます 。 す べ て の 権限 を 有効 に する に は 、2 
VOX UMS AUN AUDI Ee pae ed SU e 


(3) 「Users」 ドロ ッ プ ダウ ン か ら 必 要 な ユー ザ を 選択 し 、「Save」 を クリ ッ ク し ます 。CloudView の 完全 ア 
クセ ス 権 を 割り 当て る ユー ザ を 選択 する 必要 が あり ます 。 


新しい ユー ザ は 、 完 全 ア クセ ス 機 能 を 使用 し て CloudView を 操作 で きま す 。 
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ユー ザ の コネ クタ アク セス の 管理 
サブ ユー ザ (リー ダ 権 限 ) 


サブ ユー ザ (リー ダ 権 限 ) 


新しい ユー ザ ロ ー ル の 「 リ ー ダ 」 (読み 取り 専用 アク セス 権 ) を 作成 し 、 サブ ユー ザ に 割り 当て る こと が で 
きま す 。 リ ー ダ ロー ル を 持つ ユー ザ は 、CloudView モジ ュー ル に 表示 され る デー タ の 閲覧 の み が で きま す 。 


パー ミッ ショ ン : Administration モジ ュー ル に アク セス で きる ユー ザ の み 、 リ ー ダ ロー ル の サブ ュ ユーザ を 作 
hu ceu 

リー ダ ユ ー ザ が で きる 操作 

リー ダ ロ ー ル を 持つ ユー ザ は 、 以 下 の 操 作 が で きま す 。 

- コネ クタ の 表示 

- コン トロ ー ル 、 ポ リ シ ー、 リ ソー ス の 監視 

- ダッ シュ ボー ド の 作成 と 編集 

リー ダ ロ ー ル を 持つ ユー ザ は コネ クタ の 作成 、 コ ント ロー ル と ポリ シー の 評価 は で きま せん 。 

クイ ックス テッ プ 


(D リー ダ ュ ユー ザ を 作成 し ます 。「Administration」 モジ ュー ルー 「 ユ ー ザ 管理 」 つ 「 ユ ー ザ を 作成 」 つ 「 リ ー 
ダニ ユー ザ を 作成 」 を 選択 し ます 。 


Administration € 


1-94 アシ ヨン ロゴ 


ロー ルル 管理 テオ ルト 
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ユー ザ の コネ クタ アク セス の 管理 
サブ ユー ザ (リー ダ 権 限 ) 


(2) 管理 ユー ティ リティ で ロー ル を 作成 し 、 ロ ー ル に UI アク セス パー ミッ ショ ン が あり 、「CLOUDVIBW 
Readonly Access] と 「CLOUDVIEW API Readonly Access」 が 有効 に な っ て いる こと を 確認 し ます 。 


ステ ッ プ 273 ご の ロー ル の バー ミッ シヨ ン を 編集 
この プ リケーション ペペ の ユー ザ の アタ ゼス 方法 を 羽 択 
1 ロー ル の 詳細 v NT 
* UI アク セス "API アク セス 
Q バー ミッション 
3 設定 内 容 を 確認 この ロー ル が アク セス する モジ ュー ル を 選択 。 各 ロ ー ル に 付 号 する パー ミッ ショ ヨン を 定義 で きま す 
モラ ジュール モジ ュー ル を 検索 し て リス トム へ 追加 hd 
モジ ユー ル 別 ロー ルル バー ミ ッ ショ ン (4) FATHI 


削 障 


~) CLOUDVIEW UI Access 
~ CLOUDVIEW API Access 


w) CLOUDVIEW Readonly Access 


*. CLOUDVIEW API Readonly Access 


(3) 新しく 作成 され た ユー ザ に ロー ル を 割り 当て ます 。 
新しい リー ダ ユ ー ザ は 、 監 視 機能 を 使用 し て CloudView を 操作 で きま す 。 


45 


クラ ウド リソー ス の 保護 
ダッ シュ ボー ド 


クラ ウド リソー ス の 保護 


コネ クタ を 設定 する と 、 ク ラウ ドア カウ ント に ある リン ソース の 検出 が 始ま り ま す 。 リソース の イン ベン トリ 
と メタ デー タク は Qualys ボー タル に 送信 され ます 。 収集 し た リツ ー ス と それ ぞ れ の 詳細 情報 は 、「Resources」 
タブ に 移動 し て 表示 で きま す 。 


ダッ シュ ボー ド 

Qualys CloudView アプ リケーション に は 追加 設定 が いら な い デ フォ ルト の AWS ダッ シュ ボー ド が 用 意 さ 
れ て お り 、 リ ソー ス の イン ベン トリ 情報 や セキ ュ リ ティ 状態 の サマ リ を 表示 し ます 。 Microsoft Azure ダッ 
ン ュ ボー ド も サザ サポート きれ て いま す 。 


この デフ ォ ル ト の ダッ シュ ボー ド に は 以下 が 表示 され ます 。 

= リ ジ ー ズ イン ペン トド トリー ルー ト テ デー ブル 、 BC2 イン スク ンス 、VBOC、 サ ブフ キッ ト 、IAWV ラ ユー ザ な ど 
- 失敗 の 合計 。 コ ント ロー ル の 重要 度 別 リ ソー ス の 構成 ミス 

- リソー ス と 失敗 の 数 を 示す リー ジョ ン 別 の セキ ュ リ ティ 状態 

- コン トロ ー ル の 失敗 が 多い 上 位 5 アカ ウン ト 


- 失敗 が 多い 上 位 5 コン トロ ー ル 


次 の ダッ シュ ボー ド の 例 を 参照 し て くだ さい 


CloudView DASHBOARD RESOURCES MONITOR POLICIES REPORTS CONFIGURATION 


AWS-Dashboard w 
Last 30 Days Y © 


RESOURCE DISTRIBUTION BY TYPE FAILURES BY CONTROL CRITICALITY 


Total Failures 


1312 


liesr 


SECURITY POSTURE BY REGIONS 


All Regions 
Total Resources 
65 
17 oe 23 37 452 
o ped es Lj pei 
29 EC VPCS.. Subnet Interne._Route .. VPC Netwo.. Bucket IAM U.. 
s 84 
* Total Failures 
25 
e 107 
P P 0 @ HIGH 0 
8 ^ 0 
| 
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クラ ウド リソー ス の 保護 
リソー ス の 詳細 


リソー ス の 詳細 

[Resources] ダブ に は 収集 し た さま ざま な リソー ス に 関す る 情報 が 表示 され ます 。 タ イプ 別 の リソー ス の 数 
や 1 つま た は 複数 の コン トロ ー ル が 失敗 し て いる リソー ス の 数 が わか り ま す 。 各 タ イプ の リソー ス の 数 を 表 
示す る に は 該当 する 行 を クリ ッ ク し ます 。 個別 の リソー ス の 詳細 を 表示 する に は 該当 する リソー ス を クリ ッ 
ク し ます 。 各 リソー ス に つい て 、 以 下 の 情 報 が 表示 され ます 。 


リソー ス サ マ リ 
List View」 に は リソー ス の サマ リ が 表示 され ます 。 こ れ に は 、 リ ソー ス の 合計 数 、 リ ソー スタ イプ 別 の 失 
敗 し た リソー ス の 数 が 含ま れ ま す 。 


CloudView DASHBOARD RESOURCES MONITOR POLICIES REPORTS CONFIGURATION 


ures List View 


Last 90 Days " = 


13 


Total Resource Types 


0 2 1%. 2 9t. 30 Ath 14t. 1 Bt 30t. 1 2t. 13 8t. 20t... 21 9t rd 4th. 8 Ot 
RESOURCE TYPE 1 - 13 of 13 
Security Group 220 
IAM U 190 
EBS Volume 111 : 
Instance 96 © Ros —- 20 19 
Sub 82 
8m Q  NeworkAcL VPC 43 0 
REGIONS MO S3Bucket S3 74 74 
N. Virginia 461 
Ne n $ "Muse n 190 186 
Mumbai 78 
Ohio 57 
Pad VPC A Q 
N. Californ 35 w vec 34 31 
m ーー r 
| | Security Group vec 22 139 
品 Subnet VPC 82 0 
G Internet Gateway VC 28 0 
© Load Balancer EC2 10 U 
LE Instance EC2 96 0 
enm Route Table VPC 48 0 
B 。 EBSVolume EC2 111 0 
i EC2 に N 
sfa Auto Scaling Group 9 U 


Instance (EC2 イン スタ ンス ) と Security Group タイ プ の リソー ス を 例 に 挙げ て 、 リ ソー ス の 詳細 情報 を 見 
CART LE Ds 
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イン スタ ンス の 詳細 
Instance] タイ プ を クリ ッ ク し 、AWS EC2 イン スタ ンス に ドリ ル ダ ウ ン し ます 。 左側 の パネ ル の フィ ル タ 


を 使い 、 


CloudView * 


Amazon Web Services 


96 


Total Instances 


REGIONS 

N. Virginia 47 

Oregon 20 

Ohio 11 

Mumbai 8 

Singapore 4 
ジ 3more 


0 30th Oct 


*] Resource Summary 


EC2 INSTANCE ID 


i-0a6885c2090ce5399 
VM Scan Agent 


i-0ba40d41362be3ec9 
VMSCAN 


i-0bda729646ea27885 
US POD2PISAgent 


i-0a548ee6b44f074d8 
ScannerUSPOD2 


i-0567acc28bb309677 
US POD2 agent-Vijay 


i-064fb1a075f450893 
pp-win 2012 


RESOURCES 


ACCOUNT ID 


383031258652 


383031258652 


383031258652 


383031258652 


383031258652 


383031258652 


MONITOR 
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REGION 


N. Virginia 


N. Virginia 


N. Virginia 


N. Virginia 


N. Virginia 


Oregon 


REPORTS 


17th Dec 


TYPE 


t2.micro 


t2.micro 


t2.medium 


t2.medium 


t2.micro 


t2.micro 


va コン また ば は / ア ルレ クン トド で リ ノー クム る が リル こと も で きま うす 


CONFIGURATION 


※ resource.type:Instance Last 90 Days Y| 三 


29th Dec 


STATE 


Terminated 


Terminated 


Terminated 


Terminated 


Terminated 


Terminated 


クラ ウド リソー ス の 保護 
リソー ス の 詳細 


3rd Jan 9th Jan 10th Jan 
1-50 of 96 レ 
FIRST DISCOVERED ON 


January 10, 2019 5:30 
AM 


January 10, 2019 5:30 
AM 


January 9, 2019 5:30 
AM 


January 9, 2019 5:30 
AM 


January 9, 2019 5:30 
AM 


January 3, 2019 5:30 
AM 


クラ ウド リソー ス の 保護 
リソー ス の 詳細 


次 に 、BC2 イン スタ ンス ID を クリ ッ ク し 、 検 出し た 脆弱 性 の 数 、 リ ソー ス の 関連 付け 、 場 所 、 ネ ッ ト ワ ー 
ク 情 報 を 表示 し ます 。 
© Qualys. Enterprise 


と Resource Details: i-063816f27d5a8571c 


General: 
SR summary 
Instance Name Sales A1 
Associations 
. Instance ID i-063816127d5a8571c 
2 i i-063816f27d5a8571c 
Instance Type t2.micro 
TERRE First Discovered On il 14, 2018 5:30 AM i 
Vulnerabilites Instance ii 
First Discovered On: April 14, 2018 5:30 AM 
Instance Status 
Vulnerabilities Associations State: stopped 
] Z Security Group 1 Spot Instance 
29 % Potential: 5 Auto Scaling Group 0 Image (AMI) ID: ami-d874e0a0 
71% Confirmed: 12 Load Balancer 0 Last Updated On January 11, 2019 10:55 AM 


Location: 
Account ID 383031258652 
Region Oregon (us-west-2) 
Availability Zone us-west-2b 
Network: 
VPC ID vpc-23c87b45 
Subnet ID: subnet624a8804 
DNS (Private): jp-172-31-21-189.us-west-2.compute 
DNS (Public) 


IP Address (Public) 
IP Address (Private): 172.31.21.189 


Secondary IP Addre.. - 


Role: 


イン スタ ンス の 脆弱 性 の 詳細 


CloudView の リソー ス の イン スタ ンス タイ プ の 脆弱 性 の 詳細 が 表示 され ます 。 詳細 に は 、 リ ソー ス の イン ベ 
ント リ 、 セ キュ リティ 情報 、 コ ンプ ライ アン ス 情 報 、 セ ン サ 情報 が 含ま れ ま す 。 


リソー ス の 詳細 を 表示 する 際 の 注意 事項 : 
- リソース の イン スタ ンス タイ プ の 詳細 の み が 表 示さ れ ま す 。 
AWS: Instance, Azure: Virtual Machine, GCP: VM Instances 


- リソー ス (アセット) は 、Qualys スキ ャ ン 時 に 検出 され る か 、Qualys Cloud Agent が イン スト ー ル され 
て いる 必要 が あり ます 。 リ ソー ス (アセ ッ ト ) は 、Qualys クラ ウド プラ ッ ト フ ォ ー ム (AssetView) で 使用 
可能 で ある 必要 が あり ます 。 

- リソー ス に Qualys Cloud Agent が イン スト ー ル され て いる 場合 、「Agent Summary」 項 に 該当 する 詳細 が 
表示 され ます 。 
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クラ ウド リソー ス の 保護 
リソー ス の 詳細 


[Resources] を 選択 し 、 ク ラウ ド プ ロバ イダ (AWS、Azure、 ま た は Google Cloud Platform) を 選択 x 


す 。 ここ で 、 イ ンス タン スタ イプ の リソー ス を 選択 し 、 リ ソー ス を クリ ッ ク し ます 。 [Resource Details] ペー 
ジ に さら に 詳し い 情 報 が 表示 され ます 。 


v CLOUD METADATA 
Summary 
Network Interfaces 
Associations 


Tags 


INVENTORY 


Asset Summary 


System Information 


Network Information 
Open Ports 
Installed Software 


SECURITY 


Vulnerabilities 


COMPLIANCE 
File Integrity Monitoring 


Policy Compliance 


v SENSORS 


Agent Summary 


Summary 
IE i-Ofd5ad25d4aef1161 
instance First Discovered On: September 5, 2019 11:38 AM 
Vulnerabilities Associations 
1 Security Group 
100 % Potential: 1 Auto Scaling Group 

0% Confirmed: 0 
Load Balancer 

E) 


リソー ス の 詳細 情報 


に も あり ます ) 


(Qualys クラ ウド プラ ッ ト フ ォ ー ム 
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General: 
Instance Name: 
Instance ID: 
Instance Type: 
First Discovered On: 
Instance Status: 
State: 
Spot Instance: 
Image (AMI) ID: 


Last Updated On: 


Location: 
Account ID: 
Region: 


Availability Zone: 


Network: 
VPC ID: 
Subnet ID: 
DNS (Private): 
DNS (Public): 
IP Address (Public): 


IP Address (Private): 


€— Resource Details: i-Ofd5ad25d4aef1161 


^ 


EC2. Plus Agent1. quays bl43 
i-0ofd5ad25d4aef1161 
t2.micro 


September 5, 2019 11:38 AM 


running 


ami-0cfee17793b08a293 


September 10, 2019 2:18 PM 


383031258652 
N. Virginia (us-east-1) 


us-east-1b 


vpc-ceacefb7 

subnet-b355259f 
ip-172-31-85-154.ec2 internal 
ec2-52-55-244-224.compute-1.ame 
52.55.244.224 


172.31.85.154 


クラ ウド リソー ス の 保護 


リソー ス の 詳細 


注記 : Qualys クラ ウド プラ ッ ト フ ォ ー ム に リソー ス が 存在 し な い 場 合 は 、 リ ソー ス の [View Mode」 が 表 


示さ れ ま す 。 


< Resource Details: L0bfab06114a91e901 
| 


View Mode General: 
Summary 
Instance Name: 
Summary 
: Instance ID: 
Network Interfaces UB i-Obfab06114a916901 
Instance Type: 
Associations First Discovered On: September 10, 2019 9:10 AM 
E p First Discovered On: 
ina Instance Status: 
Associations State: 
Security Group 1 Spot Instance: 
l AMI) ID: 
Auto Scaling Group 0 mage (AMI) 
Last Updated On: 
Load Balancer 0 
Location: 
Account ID: 
Region: 


Availability Zone: 


Network: 
VPC ID: 
Subnet ID: 


DNS (Private): 
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Test-scan-4 
[Obfab06114a91e901 
t2.medium 

September 10, 2019 9:10 AM 


running 
ami-0c5668e751b18e85a 


September 10, 2019 1:38 PM 


205767712438 
Canada Central (ca-central-1) 


ca-central-1b 


vpc-2f638f46 
subnet-b2929eca 


ip-172-31-14-85.ca-central-1.compt 


クラ ウド リソー ス の 保護 
リソー ス の 詳細 


「Vulnerabilittes」 を クリ ッ ク し 、 検 出し た 脆弱 性 に 関す る 情報 を 表示 し ます 。 


脆弱 性 関連 の デー タ は 、Scanner Appliance また は Cloud Agent を 使っ て いる 場合 の み 表 示さ れ 
7 


© Qualys. Enterprise 


と Resource Details: i-063816f27d5a8571c 


M Vulnerabilities 
dorem VULNERABILITIES BY SEVERITY (SELECT THE SEVERITY YOU WOULD LIKE TO REVIEW BY) 
Tags 
Sev5 v Sev4 v Sev3 v Sev2 v Sev1 v View (17) 
Vulnerabilites 
CONFIRMED VULNERABILITIES (12) POTENTIAL VULNERABILITIES (5) 
Bg ^50 g 950 
Bg "0 B Severty4 0 
Bg Severity 3 12 B Severity3 5 
lg Severity 2 0 B Severity2 0 
Severiy1 0 B Severty1 0 
VULNERABILITY DETECTIONS 
DETECTIONS BY STATUS LastMonth Y 


Confirmed 0 Confirmed 0 
Potential 0 Potential 0 Potential 0 Potential 
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クラ ウド リソー ス の 保護 
リソー ス の 詳細 


セキ ュ リ ティ グル ー プ 情報 の 表示 


Security Group リン ソース に つい て は 、 さ ら に 詳し い 情 報 を 表示 で きま す 。「Resources」 つ 「Security Group] 
に 移動 し 、 セ キュ リティ グル ー プ ID を クリ ッ ク し て さら に 詳し しい 情 報 を 表示 し ます 。 


と Resource Details: sq-937731e1 


General: 
Basic Information S um m a ry 
Rides Group ID: sg-937731e1 
A z | | sg-937731 e] Group Name: webserver-security-group 
e Security Group First Discovered On: Dec 12, 2017 VPC ID: vpc-ele73d99 
Description: webserver-security-grou 
Controls Evaluated ie ramen 
First Discovered On: December 12, 2017 5:30 AM 
Inbound Rules Outbound Rules 
5 1 Location: 
Account ID: 383031258652 
Region: N. Virginia (us-east-1) 


Controls Evaluated Associations 
Instance 2 
ノ Load Balancer 0 
Ref Security G 
Controls Failed: 1 eference Security Groups 0 


セキ ュ リ ティ グル ー プ の 関連 付け の 表示 
ID、 リ ー ジ ョ ン 、 状 態 な ど 、 関 連 付け に 関す る さま ざま な 詳細 情報 を 表示 で きま す 。 
© Qualys. Enterprise 


と Resource Details: sq-65d94f1b 


ETE Associations 
Rules 
Instances ELB Reference Security Groups 
Associations — - 
Tags 1-2of 2 
Controls Evaluated NSTANGE ID REGION FIRST DISCOVERED DAI RABILITIE 
i-0b44d322604d55cfc Oregon Apr 14, 2018 terminated 17 
Sales A2 p —À35] 
i-063816127d5a8571c Oregon Apr 14, 2018 terminated 17 
Sales A1 pec reá— 
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クラ ウド リソー ス の 保護 
リソー ス の 詳細 


評価 済み コン トロ ー ル の 表示 
リソー ス を 評価 し た コン トロ ー ル と その 結果 が 合格 と 失敗 の どちら か で ある か を 表示 で きま す 。 


と Resource Details: sq-937731e1 


—— Controls Evaluated 
Rules 
1-20f 2 

Associations 

CID CONTROL CRITICALITY RESULT 
Tags 

p H HIGH FAIL 

ERBEN 41 Ensure no security groups allow ingress from 0.0.0.0/0 to port 22 

42 Ensure no security groups allow ingress from 0.0.0.0/0 to port 3389 HIGH FAIL 
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クラ ウド リソー ス の 保護 
リソー ス の 構成 ミス 


リソー ス の 構成 ミス 


CloudView は 追加 設定 不要 の ポリ シー “aa UE ソー ス の 構成 を 比較 し 、 望 まし い 
構成 か どう か 判断 し ます 。 相違 が 見 つか っ た 場合 、 そ の リソー ス は 該当 する コン トロ ー ル に 関し て 失敗 に 
ues Uu. ラン トド トロール ご a こ = 対し て 評価 され さす 譜 当 ある の る うく の リッ シー ス 
が コン トロ ー ル の 望ま し い 構 成 に 従っ て 設定 され て いる 場合 、 そ の コン トロ ー ル は 合格 に マー ク され ます 。 
RN RN CR 、 そ の コン トロ ー ル は 失敗 に マー ク され ま 
す 。 こ の よう に し て 見 つか っ た 構成 ミス は 、「Monitor」 タプ ( < 表 示さ れ ま す 。 


コン トロ ー ル の 評価 ビュ ー 


CloudView DASHBOARD RESOURCES MONITOR POLICY REPORTS CONFIGURATION 


Amazon Web Services v 


i Q, search... Latest v 三 


] 0 / EVALUATIONS SECURITY POSTURE FAILURES BY CRITICALITY 


Total Controls Evaluated © Q Q 
3.58K 1.62K 1.96K 1.47K 459 23 
Total Evaluations Pass Fail High Medium Low 
POLICY 1 - 107 of 107 
S Best Practic... 50 
CIS Amazon Neb 46 
vage ds 1 Ensure multi-factor authentication (MFA) is enabled for all IAM users that h. IAM 5 34 
Policy - CIS Amazon Web Services Foundations Benchmark E 
CONTROL RESULT 
84 
É , B 2 Ensure console credentials unused for 90 days or greater are disabled HIGH IAM 39 
does ca Policy : CIS Amazon Web S s Foundations Benchmark : 
otal Res es 
SERVICES 
RDS 34 3 Ensure access keys unused for 90 ale or greater are disabled IAM 138 107 
IAM 23 Policy - CIS Amazon Web Se s Foundations Benchmark Tod E 2 


1 - 評価 され る コン トロ ー ル の 総数 

2 - 評価 の 総数 。 リ ソー ス と コン トロ ー ル の 一 意 の 組み 合わ せ が 1 つの 評価 と し て 処理 され ます 。 
- 合格 し た 評価 の 数 

4 - 失敗 し た 評価 の 数 

5 - 重要 度 が 高い 和 失敗 し た 評価 の 数 

6 - 重要 度 が 中 程度 の 失敗 し た 評価 の 数 

7 - 重要 度 が 低い 失敗 し た 評価 の 数 


注記 : コン トロ ー ル の 重要 度 を 変更 する 場合 、 既 存 の 評価 の コン トロ ー ル の 重要 度 を 変更 する と 、 次 の コネ 
クタ の 実行 に 影響 を 与え ます 。 


各 コ ント ロー ル は 該当 する リソー ス に 対し て 評価 され ます が 、 こ の 数 は 「Total Resources」 に 表示 され ま 
す 。 緑 で 表示 され て いる 数 は 合格 し て いる リソー ス 、 つ まり コン トロ ー ル に 従っ て 望ま し い 構 成 と され た リ 
ソー ス の 数 で す 。 赤 で 表示 され て いる 数 は 失敗 と され た リソー ス の 数 で す 。 


コン トロ ー ル を クリ ッ ク す る と 、 そ の コン トロ ー ル に 対 し て 評価 され た すべ て の リソー ス の 詳細 が 表示 され 
d Ww. 
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クラ ウド リソー ス の 保護 
リソー ス の 構成 ミス 


コン トロ ー ル の 評価 の 詳細 

コン トロ ー ル の 詳細 画面 に は 、 そ の コン トロ ー ル に 対し て 評価 され た リソー ス の 数 が 表示 され ます 。 リ ソー 
ス ご と に 、 固 有 の リソー ス ID、 ア カウ ント ID、 リ ー ジ ョ ン な ど が 表示 され ます 。 検索 フィ ル タ を 使っ て 合 
格 / 失敗 リソー ス を 表示 で きま す 。 


と Control Evaluation: S3 Bucket Access Control List Grant Access to Ev 


CID-45 S3 Bucket Access Control List Grant Access to Everyone or Authenticated Users View Less ^ 
Policy AWS Best Practices Platform AWS 
Control checks access control list allows read or write access to Everyone or AWS 
Evaluation Service S3 
Authenticated Users 
Remediation View Steps Criticaliy EZE 
Q 
1 y 2 
RESOURCE ACCOUNT iD EVALUATED ON RESULT 
webdocsbkt 619664856109 36 minutes ago E Evidence 
cf-templates-t3vsk13r99rh-us-east-1 619664856109 36 minutes ago | mss | Evidence 


リソー ス の 証拠 
リソー ス が 失敗 し た 詳し い 理 由 を 表示 する に は 、「Evidence] リン ク を クリ ッ ク し ます 。 リ ソー ス 属 性 の 実 
際 の 値 が 表示 され ます 。 


と Control Evaluation: Ensure versioning is enabled for S3 buckets 


CID-48 Ensure versioning is enabled for S3 buckets 


View Less 公 


Policy: AWS Best Practices Policy Platform: AWS 
Evaluation: Control checks whether the versioning is enabled on S3 buckets. Service: s3 
Remediation: View Steps Criticality: 


ACCOUNT ID 


1-1of 1 


VALUATED ON RESULT 


383031258652 


14 minutes ago Evidence 


EVIDENCE DETAILS REMEDIATION STEPS 


View in AWS Console 


Evaluation Summary 


First Evaluated: December 15, 2018 9:35 PM Last Reopened: December 17, 2018 12:41 PM 


Last Evaluated: December 17, 2018 3:01 PM Last Fixed: December 17, 2018 12:43 PM 


Evaluation Criteria 


Versioning Status Enabled 


Evaluation Summary」 に は 以下 の 情報 も 表示 され ます 。 
- First Evaluated: コン トロ ー ル を 最初 に 評価 し た 日 付 
- Last Evaluated: コント ロー ル を 評価 し た 最後 の 日 付 。 
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クラ ウド リソー ス の 保護 
リソー ス の 構成 ミス 


- Last Reopened: コン トロ ー ル の 評価 結末 が 合格 か ら 失 敗 に 変わ っ た 最後 の 日 付 。 
- Last Fixed: コン トロ ー ル の 評価 結果 が 失敗 か ら 合 格 に 変わ っ た 最後 の 日 付 。 


改善 手順 の 表示 
失敗 の 修正 に 必要 な 手順 を 確認 する に は 、「Remediation Steps; タブ を クリ ッ ク し ます 。 


と Control Evaluation: S3 Bucket Access Control List Grant Access to Ev... 


CID-45 S3 Bucket Access Control List Grant Access to Everyone or Authenticated Users View Less A 
Policy AWS Best Practices Policy Platform AWS 
— Control checks whether bucket access control list allows read or write access to Everyone or AWS A $3 
valu 1O Prvic 
Authenticated Users 
Remediation View Steps Criticality EON 
Q 
1-2of 2 
RESOURCE ACCOUNT ID EVALUATED ON RESULT 
webdocsbkt —] 619664856109 41 minutes ago EH Evidence 


EVIDENCE DETAILS REMEDIATION STEPS View in AWS Console 


Perform the following: 

1. Sign in to the aws management console and open the amazon s3 console at https //console aws,amazon.com/s3 
2. Select the bucket and click Permissions 

3. In the permissions pane, navigate to Public Access section 

4. The section shows a list of permissions assigned to everyone. Uncheck al! the permissions granted to everyone 


of 


クラ ウド リソー ス の 保護 
リソー ス の 構成 ミス 


アカ ウン ト 別 の コン トロ ー ル 評価 結果 の 表示 
アカ ウン トト フィルタ を クリ ッ ク し 、 合格 / 失敗 し た コン トロ ー ル の 数 を 簡単 に 表示 で きま す 。 


CloudView * DASHBOARD RESOURCES MONITOR POLICIES REPORTS CONFIGURATION v QX 


Amazon Web Service w 


Q Search... 


43 Doi 


SECURITY POSTURE FAILURES BY CRITICALITY 


Total Controls Evaluated 3 904K ] 72K 2 22K 1 52K 700 0 
Total Evaluations Pass Fail High Medium Low 
POLICY 1-48 of 48 レン 
RE p CID CONTROL NAME CRITICALITY SERVICE SECURITY POSTURE 


> 


1 Ensure multi-factor authentication (MFA) is enabled for all IAM users that... IAM 8 77 


CONTROL RESULT Policy : CIS Amazon Web Services Foundations Benchmark Ta Ra 

FAIL 45 

PASS 3 2 Ensure console credentials unused for 90 days or greater are disabled HIGH IAM 12 73 
(0 EN 


Policy : CIS Amazon Web Services Foundations Benchmark Total Resources: 85 


ACCOUNT 


205767712438 3 Ensure access keys unused for 90 days or greater are disabled IAM 307 251 
383031258652 CloudView * DASHBOARD RESOURCES MONITOR POLICIES CONFIGURATION Komall Ambastha (quays2ka77) * 


‘a 


E Pu Amazon Web Service ツマ 

CloudTrail 20 

IAM 19 

S3 4 | X account. id:"383031258652" 
VPC 4 


EVALUATIONS SECURITY POSTURE FAILURES BY CRITICALITY 


Total Controls Evaluated 885 425 460 31 8 1 42 | 0 


Total Evaluations Fail High Medium 


Config 1 


POLICY 1-48 of 48 
MK p CD CONTROL NAME CRITICALITY SERVICE SECURITY POSTURE 
AWS Best Practic... 4 3 | — CALI S SECU STU 


Ensure multi-factor authentication (MFA) is enabled for all IAM users that... 


CONTROL RESULT Policy : CIS Amazon Web Services Foundations Benchmark Total Resources: 25 
FAIL 41 
PASS 7 2 Ensure console credentials unused for 90 days or greater are disabled HIGH IAM 6 19 
Policy : CIS Amazon Web Services Foundations Benchmark eo 25 

SERVICES - 

n 3 Ensure access keys unused for 90 days or greater are disabled HIG IAM 48 29 
CloudTrail 20 dM j : レー mt 
IAM 19 Policy : CIS Amazon Web Services Foundations Benchmark Total Rescurces: 77 


S3 
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クラ ウド リソー ス の 保護 
リソー ス の 構成 ミス 


リソー スパ バ パラ メー タ 情 報 を 使用 し た 検索 


リソー ス の パラ メー タ 情 報 に 一 致す る すべ て の リソー ス を 検索 で きる よう に な り ま し た 。 例え ば 、 リ ソー ス 
に 特定 の VPC を 持つ AWS イン スタ ンス な どの 特定 の パラ メー タ が ある 場合 、 同 じ VPC ID と リソー スタ 
イプ に 属す る すべ て の リソー ス を 検索 で きま す 。 


[Resources] を 選択 し 、 イ ンス タン スリ ソー スタ イプ を 選択 し 、「EC2 Instance ID」 を クリ ッ ク し て 、 リ 
ソー ス の 詳細 を 表示 し ます 。 そ の リソー スタ イプ の すべて の 検索 可能 な パラ メー タダ 情報 の リン ク が 右側 に 表 
志 き 4 し ます 。 


< Resource Details: -0702c4b97e8a0b26a 


View Mode General: 


Instance Name: udaya-cloudview-test-pod01 


Summary 


Network interfaces M. i-0702c4b97e8a0b26a 


Associations — First Discovered On: December 6, 2019 4:39 AM 


Instance ID: i-0702c4b97e8a0b26a 
Instance Type: t2.micro 
First Discovered On: December 6, 2019 4:39 AM 


Tags 
Instance Status: 


Associations State: running 


Security Group Spot Instance: 


I AMI) ID: i-00068cd7555f543d5 
Auto Scaling Group mage (AMI) ami c 


Last Updated On: December 6, 2019 8:41 AM 
Load Balancer 


Location: 
Account ID: 205767712438 
Region: N. Virginia (us-east-1) 


Availability Zone: us-east-1e 


クリ ッ ク し て 、VPC ID に 属す る "nuu 
すべ て の AWS イン スタ ンス を ーー 


Subnet ID: subnet-5a756071 


リン ク を クリ ッ ク す る と 、 目 動 的 に VPC ID に 基づい て 検索 クエ リ が 作成 され 、 検 索 結 果 が 表示 され ます 。 


Amazon Web Services ist View 


| XC resource. type: "Instance" and instance.vpcld: vpc-1e37cd76 Last24Hrs v 


Without Agents With Public IP 


311 


Total Instances 


NO REMAINING FILTERS 検索 結果 1-50of 311 B 


EC2 INSTANCE ID ACCOUNT ID REGION TYPE STATE HRST DISCOVERED ON 


i-0702c4b97e8a0b26a 205767712438 N. Virginia t2.micro Running December 6, 2019 
udaya-cloudview-test-pod01 4:39 AM 


i-0e87ffa3a1f31141b 205767712438 N. Virginia t2.micro Running December 4, 2019 
kgaurav-pod1 8:41 PM 


i-07c4aeb114dab5e1cb 205767712438 N. Virginia t2.micro Running December 4, 2019 
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ポリ シー と コン トロ ー ル 
コン トロ ー ル の カス タマ イズ 


ポリ シー と コン トロ ー ル 


CloudView は リソー ス を 継続 し て 検出 し 、 リ ソー ス が 用 意 さ れ て いる 追加 設定 の いら な い ベ ンチ マー ク と べ ベ 
スト プラ クティ ス の ポリ シー に それ ぞ れ 従っ て いる こと を 確認 し ます 。 


コン トロ ー ル の カス タマ イズ 


コン トロ ー ル は 、 一 連 の ホス ト の コン プラ イア ンス を 測定 し レレ ポート する 際 に 使用 さき れる ポリ シー の 構成 要 
素 で す 。 選 択 で きる コン トロ ー ル は 数 多く 用 意 さ きれ て お り 、 カ スタ マイ ズ も で きま す 。 コ ント ロー ル は 、 リ 
ソー ス の コン プラ イア ンス 状態 に 重要 な 役割 を 果たし ます 。 


コン トロ ー ル の 重要 度 


ニー ズ に 合わ せ て コン トロ ー ル の 重要 度 を 変更 で きま す 。 環境 に 合わ せ て コン トロ ー ル の 重要 度 を 変更 する 
必要 が ある 場合 、 コ ユン トロ ー ル を 選択 し 、「Quick Actions」 メ ニュ ー か ら 「Change Criticality」 を 選択 し ます 。 


CloudView DASHBOARD RESOURCES MONITOR POLICY REPORTS 


Policy Controls 


provider :”AWS” 
149 - 
Total Controls 
1 Ensure multi-factor authentication (MFA)... aws 
TYPE Service: IAM 
System Defined 107 2 nm Ensure console credential: mE aws 
User Defined 38 Service: IAM Quick Actions v 
3 Ensure access keys unuse: i aws 
CRITICALITY な y View w 
Service: IAM 
HIGH 127 Change Criticality 
MEDIUM 16 = Ensure access key1 is rota aws 
な "tes Create Copy €— 
LOW 2 Service: IAM 
5 nm Ensure access key2 is rotated every 90 d... aws 
SERVICES - Service: IAM 
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ポリ シー と コン トロ ー ル 
コン トロ ー ル の カス タマ イズ 


コン トロ ー ル に 割り 当て る 重要 度 を 選択 し 、「Change Criticality」 を クリ ッ ク LET., 


Change Criticality 


Depending the impact, you want this control to have, you can set the criticality to High, Medium, Low. 


e EEN (System Default) 


Controls with severe impact. 


Controls with medium impact. 


Controls with minimal impact. 


| Cancel | Change Criticality 


注記 : 重要 度 を 変更 する 場合 、 既 存 の 評価 の ユン トロ ー ル の 重要 度 を 変更 する と 、 湊 の コネ クタ 
の 実行 時 に [Monitor View」 に 影響 を 与え ます 。 


重要 度 が 「HIGH」 の コン トロ ー ル が 3 つの リソー ス を 評価 し た シナ リオ を 見 て いき まし ょ う 。 こ こ で は 、 
コン トロ ー ル の 重要 度 を 「LOW」 に 変更 する と 、 評 価 結 果 の 変更 は 、 コ ネ ク タ の 実行 後に の み 反 映 さ れ ま 
す 。 コネクタ の 実行 時 に は 、2 つの リン ー ス の み が 検 出さ れる と みな し ます 。 コネクタ 実行 後に 検出 され る 
リソー ス の コン トロ ー ル 評価 結果 に は 、 重 要 度 「LOW」 が 示さ れ ま す 。 た だ し 、 コ ネ ク タ 実 行 後に 検出 さ 
れ な か っ た リソー ス の コン トロ ー ル 評価 結果 は 、 重 要 度 「HIGH」 と し て カウ ント され ます 。 
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ポリ シー と コン トロ ー ル 
コン トロ ー ル の カス タマ イズ 


ンス テム コン トロ ー ル 

シス テム 定義 の コン トロ ー ル は 、Qualys が 提供 する 事前 定義 済み の コン トロ ー ル で す 。 シス テム 定義 の コ 
ント ロー ル に は カス タマ イズ 可能 な も の と 不可 能 な も の が あり ます 。 カ スタ マイ ズ 可 能 か どう か は 、 コ ント 
ロー ル 表 示 ア イコ ン に 表示 され ます 。 


CloudView DASHBOARD RESOURCES MONITOR POLICY REPORTS CONFIGURATION 


Policy Controls 


provider: "AWS" 
149 


Total Controls 


1 Ensure multi-factor authentication (MFA)... aws System Defined SYSTEM 
Service: IAM 42 minutes ago 
TYPE € 
System Defined 107 2 Ensure console credentials unused for 9... aws System Defined SYSTEM 
User Defined 38 Service: IAM 42 minutes ago 
CRITICALITY 3 Ensure access keys unused for 90 days o... aws System Defined SYSTEM 
Service: IAM 42 minutes ago 
HIGH 127 
MEDIUM 16 4 Ensure access key1 is rotated every 90 d... aws System Defined SYSTEM 
LOW 2 Service: IAM 42 minutes ago 
5 Ensure access key2 is rotated every 90 d... aws System Defined SYSTEM 
SERVICES - Service: IAM 42 minutes ago 


ss この 表示 の ンス テム 足 表 の ヨコ ント 上 ルカ メグ ク マイ で きま 作 ん 。 こ の シス テム 定 表 の ラコ ント 昌一 
ルレ の パラ メー タ 値 は 変更 で きま せん 。 


Lb. - こ の 表示 の コン トロ ー ル は ニー ズ に 合わ せ て カス タマ イズ で きま す 。 こ の コン トロ ー ル の パラ メー タ 
値 を 変更 し 、 組 織 の 要件 に 応じ し て カス タマ イズ で きま す 。 


ユー ザ 定 義 の コン トロ ー ル 

LR この 表示 の コン トロ ー ル は カス タマ イズ で きま す 。 シ ステ ム 定 義 の コン トロ ー ル を コピ ー し て 、 ニ ー 
ズ に 合わ せ て カス タマ イズ で きる 独自 の ユー ザ 定 義 コ ント ロー ル を 作成 で きま す 。 

コン トロ ー ル の コピ ー と カス タマ イズ 


[Policy] ^ [Controls] を 選択 し 、 カ スタ マイ ズ す る コン トロ ー ル を 選択 し 、「Quick Actions] メニュー か 
[Create Copy] を 選択 し ます 。 アイ コン T は 、 コ ント ロー ル が カス タマ イズ 可能 で ある こと を 示し ま 
す 。 現 時 点 で 、12 の AWS コン トロ ー ル と 2 つの Azure コン トロ ー ル が カス タマ イズ 可能 で す 。 


要件 に 応じ て コン トロ ー ル の パラ メー タ を 変更 し 、 カ スタ マイ ズ し た コン トロ ー ル を 保存 で きま す 。 カ スタ 
マイ ズ し た コン トロ ー ル を 使用 し て 、 ポ ボ ポリシー に 関連 付け 、 リ ソー ス を 評価 で きま す 。 


例え ば 、AWS CID 11 の パス ワー ド の 最低 文字 数 を 10 に 変更 する と し ます 。 
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ポリ シー と コン トロ ー ル 
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(I) コン トロ ー ル を 選択 し 、「Quick Actions] メニ ュー か ら 「Create Copy」 を クリ ッ ク し ます 。 


CloudView DASHBOARD RESOURCES MONITOR POLICY REPORTS 


Policy Controls 


| provider :"AWS" 
145 : 


Total Controls 


1 Ensure multi-factor authentication (MFA)... aws 
TVPE Service: IAM 
System Defined 107 2 D Ensure console credentials — aws 
User Defined 38 Service: IAM Quick Actions v 
3 Ensure access keys unuse i aws 
CRITICALITY G - y View as 
Service: IAM 
HIGH 127 Change Criticality 
MEDIUM 16 B Ensure access key1 is rota aws 
dip = 
LOW 2 Service: IAM 
5 nm Ensure access key2 is rotated every 90 d... aws 
SERVICES - Service: IAM 


(2) 必要 に 応じ て 、 コ ント ロー ル の 名 前 と 重要 度 を 変更 し ます 。「Next」 を クリ ッ ク し ます 。 


(3) [Evaluation Parameter] の 期待 値 を 「10」 に 設定 し ます 。 必 要 に 応じ て 、「Evaluation Description] , 
| Evaluation Message] な どの 他 の 要素 を 変更 し ます 。「Next」 を クリ ッ ク し ます 。 


(4) 必要 に 応じ て 、「Additional Details] を 更新 し ます 。「Create」 を クリ ッ ク し ます 。 

以上 で 完了 で す 。 新 し い カ スタ ムコ ント ロー ル が 使用 で きる よう に な り ま し た 。 

コン トロ ー ル の 編集 

コン トロ ー ル は 編集 で きま す 。 編 集 す る ユー ザ 定 義 の コン トロ ー ル を 選択 し 、「Quick Actions」 メ ニュ ー か 
D 「Bdit」 を 選択 し ます 。 編集 で きる の は ユー ザ 定 義 の コン トロ ー ル だ け で す 。 シ ステ ム 定 義 の コン トロ ー 
ル は 編集 で きま せん 。 

コン トロ ー ル の 削除 

コン トロ ー ル は 削除 で きま す 。 削 除 す る ユー ザ 定 義 の コン トロ ー ル を 選択 し 、「Quick Actions] メニュー か 


D 「Edit」 を 選択 し ます 。 削 除 で きる の は ユー ザ 定 義 の コン トロ ー ル だ け で す 。 システム 定義 の コン トロ ー 
ル は 削除 で きま せん 。 
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独自 の ボリ シー の 作成 


ポリ シー は 、 一 連 の リソー ス の コン プラ イア ンス を 測定 し レレ ポー ト す る 際 に 使用 され る コン トロ ー ル の 集合 
体 で す 。 コ ンプ ライ アン スレ ポー ト に 、 ボ ポリ シー コン トロ ー ル と と も に リン ー ス の コン プラ イア ンス ステ ー 
タス (合格 また は 不 合格 ) が 表示 され ます 。 提 供 き れる ポリ シー を 使用 し て 、 独 自 の ポリ シー を 作成 で きま す 。 


シス テム 定義 の ボリ シー 

CloudView は リソー ス を 継続 し て 検出 し 、 リ ソー ス が 用 意 さ れ て いる 追加 設定 の いら な い ベ ンチ マー ク と べべ 
スト プラ クティ ス の ポリ シー に それ ぞ れ 従っ て いる こと を 確認 し ます 。Qualys が 提供 する ポリ シー と それ 
に 関連 付け られ た コン トロ ー ル の 完全 な リス ト を 表示 する に は 、 付 録 : ポリ シー と コン トロ ー ル の リス ト を 
参 曲 し て くだ さい 。 


独自 の ボリ シー の 設定 (カス タム ポリ シー) 


独自 の カス タム ポリ シー を 作成 し 、 カス タム ポリ シー に 対し て 評価 され る 必要 な コン トロ ー ル を 関連 付け る 
こら WM で G き ます 


(1) [Policy] > [Policy] ^ New] を 選択 し ます 。 


DASHBOARD RESOURCES MONITOR POLICY REPORTS CONFIGURATION 


Policy 


Q 


(2) 名 前 、 説 明 な ど 、 カ スタ ム ポ ボ ポリシ ー の 基本 情報 を 入力 し 、 ク ラウ ド プ ロバ イダ を 選択 し ます 。「Next」 
qe se ey. 


€— Create: Policy 


STEPS 1/4 
Policy Details 


Provide the details needed for policy creation. 
o Basic Details 


2 Select Controls 


Name 
3 Choose Connectors My Custom Policy 
4 Review 
Description 
Sample Policy 
Provider 
AWS 
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(3) 次 の コン トロ ー ル を 関連 付け ます 。 

- シス テム 定義 

- ユー ザ 定 義 

ポリ シー に 関連 付け る コン トロ ー ル を 選択 し 、「Add」 を クリ ッ ク し ます 。「Next」 を クリ ッ ク し ます 。 


< Create: Policy 


STEPS 2/4 


Basic Details 
Select Controls 


3 Choose Connectors 


Select Controls 


Select controls and associate them with the policy. 


No controls are selected 
4 Review 


Click to select the controls 


* 
^v. 
aà 
*. 
* 


109 


Total Controls 


Cancel Previous 


IODIFIED B 


- 1 Dn Ensure multi-factor authentication (MFA) is ... aws System Defined SYSTEM 
TYPE Service: IAM 3 days ago 
System Defined 108 2 D Ensure console credentials unused for 90 da... aws System Defined SYSTEM 
User Defined 1 Service: IAM 3 days ago 
3 1 Ensure access keys unused for 90 days or gr... aws stem Defined SYSTEM 
CRITICALITY は y ysorgr. m$ Sy 
Service: IAM 3 days ago 
HIGH 93 
MEDIUM 15 4 Dn Ensure access key1 is rotated every 90 days... aws System Defined SYSTEM 
LOW 1 Service: IAM 3 days ago 
SERVICES 5 nm Ensure access key2 is rotated every 90 days .… aws System Defined | SYSTEM 
Service: IAM 3 days ago 
RDS 34 
IAM 23 6 ro: Ensure IAM Password Policy is Enabled aws System Defined SYSTEM 
CGlondTrail 20 Service: IAM 3 days ago 


シス テム 定義 の 6 コント ロー ル を 関連 付け る か 、 ニー ズ に 合わ せ て 既存 の コン トロ ー ル を 使用 し て 独自 の カス 
タム コン トロ ー ル を 作成 で きま す 。 詳細 に つい て は 、 コ ント ロー ル の カス タマ イズ を 参照 し て くだ さい 。 


注記 : サブ ユーザ を 作成 で きる の は 、 マ ネー ジャ ユー ザ の み で す 。 
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(4) ポリ シー コン プラ イア ンス の 分 析 対 象 と する コネ クタ グル ー プ また は コネ クタ を 選択 し ます 。「Next」 
VU we p 


(9 Qualys. Express 


€— Create: Policy 


STEPS 3/4 
Choose Connectors 
Tell us the connectors you want to analyze for compliance with this policy. 
Basic Details 
Select Controls You can select a combination of groups and connectors, and we'll evaluate the policy against all 
matching connectors 
Choose Connectors 
Groups 
4 Review à 
b. d 
Connectors 
v 
| Cancel Previous Next 


以上 で 完了 で す 。 ABAASBGRULT—AMEHDGE&SLX25CUt0xUf, 


ボリ シー 検索 

Qualys 詳細 検索 を 使用 する と 、 ポ リ シ ー の 詳細 と 最新 情報 を 取得 で きま す 。 検索 フィ ー ル ド に 入力 を 開始 
する と 、 ポ リ シ ー 名 、 プ ロバ イダ な ど 検 索 可 能 な プロ パテ ィ が 表示 され ます 。 目的 の プロ パテ ィ を 選択 し ま 
す 。 


プロ パテ ィ に 基づい て ポリ シー を 検索 し ます 。 

ここ で 、 一 致 さ せ た い 値 を 入力 し 、「Enter」 を 押し ます 。 以上 で 完了 で す 。 一 致す る も の が リス ト に 表示 さ 
NET, 検索 ク エリ の 作成 方 法 の 詳細 に つい て は 、 こ ちら を クリ ッ ク し て くだ さい 。 

コン トロ ー ル の 関連 付け 

該当 する コン トド ピール を 関連 付け る こと で ボリ モン ーー を 作成 で きま す 。 
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レポ ー ト 


レボ ー ト テン プレ ー ト を 設定 し 、 規制 ベ ー ス お よび ボリ シー ベー ス の レポ ー ト を 生成 し て 、AWS アカ ウン 
ト の コン プラ イア ンス 状態 を 完全 に 把握 で きる よう に な り ま し た 。 


現時 点 で は 、 ポ ボ ポリシー お よび 規制 の レポ ー ト 生成 は AWS に 対し て の み サ ポー ト さ れ て いま す 。 サ ポー ト さ 
れ て いる 規制 : 


- Payment Card Industry Data Security Standard (PCI-DSS) 
- Cloud Control Matrix (CCM) 
- ISO/IEC 27001:2013 


レポ ー ト テン プレ ー ト と レポ ー ト 


設定 を 行っ て 、 レ ポー ト の カス タム デ テンプ レー ト を 作成 し ます 。 レ ポー ト テ ンプ レート が 保存 され 、 使 用 可 
有 能 に な り ま す 。 レポ ー ト を 表示 し た い 場 合 は 毎回 、「Quick Actions] メニ ュー か ら 「Run Report] を 選択 し 
BU 


レポ ー ト テン プレ ー ト は 、 編集 し て レポ ー ト 設定 を 再 構成 し た り 変 更 し た り で きま す 。 レ ポー ト テ ンプ レー 
ト で 定義 し た 条件 に 応じ て 、 規 制 レポ ー ト と ポリ シー レポ ー ト の 2 種類 の レポ ー ト を 生成 で きま す 。 


規制 ベ ペース の レポ ー ト 


規制 と は 、 セ キュ リティ / 企業 主導 の 認定 団体 や 政府 組織 に よっ て 策定 され る 法 的 要件 、 べ スト プラ クティ 
標準 、 表 た きき コン プラ イア ンス アプ アレー スソ ツー ク で す 。 


規制 ベー ス の レポ ー ト を 開始 する こと で 、 基本 の セキ ュ リ ティ ベー スラ イン の 観点 か ら 、 選 択 し た 規制 に 照 
らし た 組織 の コン プラ イア ンス 状態 を 表示 で きま す 。 こ れ に より 、 準 拠 す る 必要 の ある 規制 を 選択 し 、 選択 
し た ポリ シー の 観点 か ら コ ンプ ライ アン ス 状 態 を 把握 で きま す 。 


レポ ー ト は 表示 目的 に の み 作 成 さ れ て お り 、 現 時 点 で は 、 レ ポー ト の 保存 、 ダ ウン ロー ド 、 公 開 は サポ ー ト 
され て に いま せん 

手順 に つい て 

カス タム レポ ー ト テン プレ ー ト の 作成 は 簡単 で す 。 


1) Reports] — /Create New Template] を 選択 し ます 。 


CloudView DASHBOARD RESOURCES MONITOR POLICIES REPORTS CONFIGURATION 


Report Templates 


ーー 
[ Create New Template 3 eQ 
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2) レー トド ト デ ン プ レー ドク イド トル と 読 明 CT Weg) る 入力 し ます 


と Create New Template 


Step 1 of 3 
人 Basic Information 
2 Accounts Provide basic details for the report generation. 


3 Summary 


Report Title Require 
| My Custom Report Template | 


Report Description 


| Example Report 


Report Type 


.) Policy — 4 Mandate 


© Select Policies 
n | 
| x | AWS Best Practices Policy C 


Select Mandate 


| Cloud Controls Matrix (CCM) x 


Select Format 


| On-Screen Report M 


The On-Screen Report displays the latest data and is available only for viewing. The On-Screen Report 
cannot be saved. 


3) レポ ー ト タイ プ で [Mandate] を 選択 し 、「Next」 を クリ ッ ク し ます 。 
- ドロ ッ プ ダウ ン か ら 「Policy」 を 選択 し ます 。 複数 の ポリ シー を 選択 で きま す 。 
- ドロ ッ プ ダウ ン か ら [Mandate] を 選択 し ます 。 規制 を 1 つの み 選 択 で きま す 。 
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4) コン プラ イア ンス を 評価 する アカ ウン ト ま た は コネ クタ を 選択 し ます 。 


Add Accounts 


= 1-6of 6 


CONNECTOR NAME ACCOUNT ID STATE 


My Sample Connec.. 222222222222 —— 
Last Synced On April 11, 2019 1:54 PM 


Example Connector 111111111111 Success 
Last Synced On April 11, 2019 1:55 PM 


Test Connector 333333333333 Success 


aws Last Synced On April 11, 2019 1:55 PM 


Sample Connector ... 4444444444444 Regions Discovered 
Last Synced On April 11, 2019 1:55 PM 


Example AWS conn... 555555555555 Success 
Last Synced On April 11, 2019 1:56 PM 


My AWS Connector — 123123123123 Processing 
Last Synced On April 11, 2019 1:56 PM 


5) [Summary] C, 構成 し た レポ ー ト テン プレ ー ト 設定 を 確認 し 、「Create Template] 47 Y »Z UL, Run 
Report) を クリ ッ ク し ます 。 


€ Create New Template 


Step 3 of 3 
ie Summary 
Accounts Review the report configuration options. 
Summary 


Basic Information 


TITLE: My Custom Report Template 
DESCRIPTION: Example Report 
POLICY: AWS Best Practices Policy 
MANDATE: Cloud Controls Matrix (CCM) 
FORMAT: On-Screen Report 
Accounts 
Sample Connector ( , Example Connector 
ACCOUNTS: i dide ( à 


G ) 


The On-Screen Report displays the latest data and is available only for viewing. The On-Screen Report 
cannot be saved. 


Create Template and Run Report 
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規制 ベ ペース の レポ ー ト の 例 


«€ Report Data - My Custom Report Template 


`~ Report Info 
num [Go to」 オ プシ ョ ン を 使用 し て 、 
eport nto 3 Accounts 
レポ ー ト の 別 の 項 に 移動 し ます 。 xit 
Created Date Created By Username ^". 070 Report itistics 
April 11, 2019 2:07 PM User John user john E add 
Detailed Report 
Accounts 
My Sample Connector Example Connector 
222222222222 111111111111 
Report Summary 
Requirements Cloud Controls Matrix (CCM) - Ver 3.0.1 Controls Total Evaluations 
16 36.41 % Compliant 22 1365 
Policies 
1 
Report Statistics 
Requirement Posture 8 Fail 
Section - AIS a Pass 
ai 
Section - AAC 
— M ———X w Ó———s M 
Section - BCR 
Section - CCC 
Section - DSI 


Section - DCS 


Section - EKM 


ポリ シー ベー ス の レポ ー ト 


ポリ シー は 、 コ ント ロー ル の セッ ト で す 。 ポリシ ー に 固有 の コン プラ イア ンス レポ ー ト を 生成 する 機能 が あ 
り ま す 。 ポリシー お よび 規制 の レポ ー ト 生成 は AWS に 対し て の み サ ポー ト さ れ て いま す 。 


カス タム レポ ー ト テン プレ ー ト の 作成 は 簡単 で す 。 
1) [Reports] — [Create New Template] を 選択 し ます 。 


Pic T DASHBOARD RESOURCES MONITOR POLICIES REPORTS CONFIGURATION 


Report Templates 
gU 
| | Actions (C *(| Create New Template H e 
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2) レポ ー ト デン プレート に クイ トル と 読 有明 (オプション ) を 入力 し ます 。 


Create New Template 


1of3 
IE Mc Basic Information 
Accounts Provide basic details for the report generation. 


summary 


Report Title Required 
My Policy Report 


Report Description 


Sample Description | 


Report Type 


ag Policy Q Mandate 


Select Policies 
o | ER CIS Amazon Web Services Foundations Benchmark v1.2.0 - 05-23-2018 


Select Format Required 


On-Screen Report 7 


The On-Screen Report displays the latest data and is available only for viewing. The On-Screen Report 
cannot be saved. 


3) レポ ー ト タイ プ で 「Policy」 を 選択 し 、 ドロ ッ プ ダウ ン か ら [Policy] を 選択 し 、「Next」 を クリ ッ ク し 
ます 。 複数 の ポリ シー を 選択 で きま す 。 
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4) コン プラ イア ンス を 評価 する アカ ウン ト ま た は コネ クタ を 選択 し ます 。 


Add Accounts 
回 1-6of 6 
CONNECTOR NAME ACCOUNT ID STATE 
My Sample Connec... 222222222222 Regions Discovered 
Last Synced On April 11, 2019 1:54 PM 
Example Connector — 111111111111 Success 
Last Synced On April 11, 2019 1:55 PM 
Test Connector 333333333333 Success 
de Last Synced On April 11, 2019 1:55 PM 
Last Synced On April 11, 2019 1:55 PM 
Example AWS conn... 555555555555 Success 


Last Synced On April 11, 2019 1:36 PM 


My AWS Connector — 123123123123 Processing 
Last Synced On April 11, 2019 1:56 PM 


5) 「Summary」 で 、 構 成 し た レポ ー ト テン プレ ー ト の 設定 を 確認 し 、「Create Template」 を クリ ッ ク し 、 
「Run Report] を クリ ッ ク し ます 。 


と Create New Template 


Step 3 of 3 
| Summary 
Accounts Review the report configuration options. 
Summary 


Basic Information 


TITLE: My Policy Report 
DESCRIPTION: Sample Description 
sore CIS Amazon Web Services Foundations Benchmark v1.2.0 - 05- 
l 23-2018 
FORMAT: On-Screen Report 
Accounts 
My Sample Connector (111111111111), Example Connector 
ACCOUNTS: 


(222222222222) 


The On-Screen Report displays the latest data and is available only for viewing. The On-Screen Report 
cannot be saved. 


Create Template and Run Report 1 
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ポリ シー ベー ス の レポ ー ト の 例 


と Report Data - My Policy Report 


- Report Info 
「Go to」 オ プシ ョ ン を 使用 し て 、 
— レポ ー ト の 別 の 項 に 移動 し ます —" 
と さ 9 Report Summary 
Created Date Created By Username Ks PV | Report Statistics 
April 11, 2019 2:54 PM John Doe user_john cadi 
Detailed Report 

Accounts 

My Sample Connector Example Connector 

111111111111 222222222222 
Report Summa 

Controls Total Evaluations Policies 

46 1417 1 
Report Statistics 

Overall Policy Posture f Pass 5173 % (733 of 1417) 


較 Fail 48.27 % (684 of 1417) 
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CloudView API 
Swagger で API に アク セス する 


CloudView API 


CloudView の 多く の 機能 は REST API か ら 利 用 で きま す 。 サ ポー ト さ れ て いる REST API に は Swagger 
ツー ル を 使っ て アク セス で きま す 。 


Swagger で API に アク セス する 


Swagger は REST API を プロ グラ ム の よう に 記述 する た め の 仕様 で 広く 採用 され て いま す 。 Swagger UI は 
API に 関す る すべ て の 詳細 情報 の ほか 、 こ れ ら を 呼び 出す 方 法 を 提供 し ます 。 こ れ に は 、 使用 する HTTP 動 
詞 (GET, POST, PUT な ど )、URL パス 、 許 容 で きる パラ メー タ と タイ プ な どの 情報 が 含ま れ ま す 。 


Swagger UI に は 以下 の URL か ら 直 接 ア クセ ス で きま す 。 

http:// く OualysURL>/cloudview-api/swagger-ui.html 

例え ば 、 ア カウ ント が US プラ ッ ト フ ォ ー ム ふ 2 に ある 場合 : 
https://qualysguard.qg2.apps.qualys.com/cloudview-api/swagger-ui.html 


t} swagger Authorize | Explore 


Cloudview APIs 


All features of the Cloudview are available through REST APIs. 
Access support information at www.qualys.com/support/ 


Permissions: 

User must have the Cloudview module enabled 
User must have API ACCESS permission 
Created by dev-cloudview(2qualys.com 


AWS Evaluations : API's for the AWS Control Evaluations 


Connector : API's for the Connectors 


rn L^ ph ne ! ani] 
URL: /Cloudview-ap 


API の 例 
CloudView API ユー ザ ガ イ ド 』 で 、API 使用 の 例 お よび 詳細 を 確認 で きま す 。 
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Qualys は 、 プ ラッ ト フ ォ ー ム を 和 複数 提供 し て いま す 。API リク エス ト に 使用 する Qualys URL は 、 使 用 す 
の が クレ ンド ト の 所 属 び の ノラ ク ッ トク フォ オー ム さり 計り ます 


Qualys プラ ッ ト フ ォ ー ム URL 


Qualys US プラットフォーム 1 https://qualysguard.qualys.com 

Qualys US プラ ッ ト フ ォ ー ム ふ 2 https://qualysguard.qg2.apps.qualys.com 
Qualys US プラ ッ ト フ ォ ー ム ふ 3 https://qualysguard.qg3.apps.qualys.com 
Qualys EU プラット フォ ー ム 1 https://qualysguard.qualys.eu 

Qualys EU プラットフォーム 2 https://qualysapi.qg2.apps.qualys.eu 
Qualys India プラ ッ ト フ ォ ー ム 1 https://qualysguard.qg 1 .apps.qualys.in 
Qualys Canada プラ フラット フォ ー ム https://qualysapi.dg1.aDDs.dualys.ca 
認証 手順 


API を 試す 前 に Qualys クラ ウド プ ブ プラットフォーム に 対す る 論証 が 必要 で す 。 
「Authorize 」 を クリ ッ ク し 、 ユ ー ザ 名 と パス ワー ド を 入力 し ます 。 これ で API を 使う こと が で きま す 。 
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CloudView の その 他 の 機能 


CloudView に は 他 に も 、CSV 形式 で の デー タ の ダウ ン ロ ー ド 、 検 索 ク エリ の 保存 、 デ ー タ フィ ル タ の 利用 
な ど 、 さ ら に 簡単 に 使え る た くさ ん の 機能 が あり ます 。 


ロー ル ベ ー ス の アク セス 管理 


Qualys CloudView で は ロー ル ベ ー ス の アク セス 制御 が 使わ れ ま す 。 ユ ー ザ に は ロー ル に 基づい て 各 機 能 へ 
の アグ で スス か 許可 され ます 。 これら 5 ほ ー ル は 軍 か く 分 けた パー ミッ ショ ン を まとめ た も の に な り ま す 。 


複数 の パー ミッ ショ ン が ロー ル と し て セッ ト 化 され て いま す 。 各 ユ ー ザ に は 1 つま た は 複数 の ロー ル が 割り 
SLOL: ar E ca られ で て で いる パー ミ {vyg POITE 機能 に アク セス する た め に ユー ザ が 所 有 
する すべ て の 権限 に な り ま す 。 


次 の 操作 が 可能 で す 。 

- CloudView モジ ュー ル へ の UI Access を ブロッ ク す る 、 ま た は 提供 する 

- CloudView モジ ュー ル に パー ミッ ショ ン を 制限 し た UI Access を 提供 する (読み 取り 専用 ユー ザ ) 

- CloudView モジ ュー ル に すべ て の パー ミッ ショ ン を 付け た フル UI Access を 提供 する 

パパ パーミッション : Administration モジ ュー ル に アク セス で きる ユー ザ の み 、 リ ー ダ ロー ル の サブ ニ ユーザ を 作 
成 で きま す 。 


サブ ユー ザ の ロー ル の 種類 


マネ ー ジ ャ ロー ル を 持つ ユー ザ は 、2 種類 の サブ ニュ ユーザ を 作成 で きま す 。 ロ ー ル に 割り 当て る パー ミッ ショ 
VES CS ピス ズミ ニー サリ は 次 の よう に 分 遷 で きま 3 


すべ て の 権限 : サナ プ ュー ザ に は 、 他 の ユー ザ の 作成 と 管理 を 除く 、 CloudView 内 の すべ て の 権限 が 付与 され 
EXC 


リー ダ 権 限 : リー ダ ロ ー ル を 持つ サブ ユー ザ は 、 CloudView モジ ュー ル に 表示 され る デー タ の 閲覧 の み が で 
さま す 。 


サブ ユー ザ の アク セス 権 を 管理 する 方 法 
プー の アク セス を 設定 する の に は 2 つの オン シン ョ ン の が あります) 
- サブ ユー ザ の スコ ー プ を 直接 定義 


サブ ユー ザ の スコ ー プ を 定義 する 場合 、 各 クラ ウド プロ バイ ダ の コネ クタ を 直接 選択 し 、 サ ブユ ー ザ に 関連 
人 光る の こと が で き 生 みす リッ ツー の うほ 、 ポジ ショ ンー ま の スコ ヨー ププ で 夫人 全 され た まま べ て の コネ ホク ク に アデ ク ルス で 
きる よ ウ の に だ なり ます 。 


| Access Management] タブ で ユー ザ を 選択 し 、「Quick Actions] メニ ュー か ら [Manage Access] を 選択 
し ます 。 特定 の クラ ウド プロ バイ ダ の lAdd Accounts」 リ ンク を クリ ッ ク し 、 コ ネ ク タ を 選択 し 、!Save」 
だ グリッ タク グ しま. 


同様 に 、 複 数 の クラ ウド プロ バイ ダ か ら 複 数 の ユネ クタ を 選択 で きま す 。 
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AWS で は 、 コ ネ ク ク タ ど リー ジョ ン も 選択 で きま す 。 


€— Access Details: quays_am56 


P 
| 
Access Details | e 


quays. am56 
Assign the connectors and regions to define the scope for quays_am56. ^h 
Groups User Details 
Manage the access based on groups ID: 150271705 
Username: quays. am56 
There are no Groups selected 
Email: 
e 
Modules: g 75 g €9 CJ 
| | Role Details 
Connectors and Regions 
9 CLOUDVIEW U...: CLOUDVIEW.ACCESS 
Manage the access for each cloud provider by assigning connectors or regions 
ULACCESS 
aws Amazon Web Services 
— Manage AWS access by accounts and regions CLOUDVIEW.UI.ACCESS 
There are no Accounts or Regions selected 
Add Accounts or Regione つ 條 人 


- グル ー プ を 使用 
コネ クタ グル ー プ を 使用 し て 、 サ プ ブユ ー ザ の コネ クタ アク セス を 設定 し ます 。 


デフ プ ォ オル ト で は 、 サ ブユ ュ ユーザ に グル ー プ が 割り 当て られ て いな い 場 合 、 サ ブ プ ニ ュ ー ザ は すべ て の コネ クタ ク に ア 
クセ ス で きま す 。 グ ルー プ に ユー ザ を 割り 当て て 、 グ ルー プ に 関連 付け られ た コネ クタ へ の アク セス を 許可 
し た り 制 限 し た り し ます 。 


| Configuration] タブ を 選択 し 、 コ ネ ク タ グ ルー プ を 作成 する クラ ウド プロ バイ ダ (AWS、Azure、 ま た は 
GCP) を 選択 し ます 。 


アク セス を 設定 する コネ クタ を 選択 し 、「Quick Actions] メニ ュー か ら 「Assigsn Group」 を クリ ッ ク し ます 。 
グル ー ブ DAMEA be Trete を クリ ッ ク し て ISave] を クリ ッ ク し ます 。 


Manage access for AWS 


Assign Connector or Region to the user to define what the user can manage. 


Connectors (Accounts) 


AWS も 3 マ 
Regions 
Mumbai Q v 
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すべ て の 権限 を 持つ サブ ユー ザ の デフ ォ ル ト 動 作 を 変更 する 方 法 

デフ ォ ル ト で は 、 す べ て の 権限 を 持つ サブ ユー ザ は 、 す べ て の 機能 を 実行 し 、 すべ て の コネ クタ に アク セス 
で きま す 。 ア クセ ス を 1 つの コネ クタ に 制限 し た い 場 合 は 、 コ ネ ク タ グ ルー プ を 作成 し 、 そ の グル ー プ を サ 
ブユ エー ザ に 割り 当て ます 。 こ うす る こと で 、 サブ ユーザ は 、 割り 当て られ た グル ー プ に 関連 付け られ た 1 つ 
の コネ クタ に の み ア クセ ス で きる よう に な り ま す 。 

複数 の コネ クタ へ の アデ アデ ク セス を 設定 する 場合 は 、 共通 グル ー プ を これ ら す べべ て の コネ クタ に 割り 当て 、 必 要 
な ユー ザ に 関連 付け ます 。 


「GroupBy」 オ ブシ ョ ン に つい て 


1 つの クラ ウド プロ バイ ダ の グル ー プ 化 さ れ て いる コネ クタ の リス ト を 表示 する に は 、!Group by」 オプ ショ 
ンク ノリック し まう 


CloudView DASHBOARD RESOURCES MONITOR POLICY REPORTS CONFIGURATION 


Configuration 


Q, Search... 


Group by: Group Name v 
RBAC2 1 


PolicyGroup 1 


また は 、 検 索 ト ー ク ン も 使用 で きま す 。 


group.name: «groupname-» 
検索 結果 に 、 グ ルー プ に 関連 付け られ た クラ ウド プロ バイ ダ の すべ て の コネ クタ が 一 覧 表示 され ます 。 


スコ ー プ と アク セス 権 の 競合 に つい て 

サブ ユー ザ の スコ ー プ に よる 直接 定義 が グル ー プ を 通じ て 割り 当て られ た アク セス 権 と 競合 する 場合 が あ 
り 生 すす 。 この ボク ウル が の 合 、 ス クローク 優先 これ 、 サフ クーナ 、 ウー ザ の スス ョ ー フ クタ 介 し て 馬 さ れこ コテ 
グ タ に アク ヤセ スズ ス で きま す 。 


競合 を より 理解 する た め に 次 の 2 つの 例 を 見 て み ま し ょ 2 う 。 


ケー ス 1: ある サブ ユー ザ に 、2 つの AWS コネ クタ へ の アク セス 権 を 持つ 「AWS important」 と いう 名 前 
の グル ー プ が 割り 当て られ て いま す 。 ま た 、 こ の サブ ユー ザ に は 、 そ の 他 の 5 つの AWS コネ クタ へ の アク 
セス 権 が 直接 割り 当て られ て いま す 。 こ の 場合 、 こ の サブ ユー ザ は 、7 つ す べべ て の コネ クタ に アク セス する 
この が の でき ます 。 


ケー ス 2: ある サブ ユー ザ に 、 コ ネ ク タ へ の アク セス 権 を まっ た く 持 た な い グ ルー プ が 割り 当て られ て いま 
す 。 こ の 場合 、 こ の サブ ユー ザ は どの コネ クタ に も アク セス で きま せん 。 

し か し 、 同 じ サ ブユ ー ザ に スコ ー プ 定義 を 通じ て 直接 コネ クタ が 割り 当て られ て いる 場合 、 こ の サブ ユー ザ 
は 直接 割り 当て られ た コネ クタ に アク セス で きま す 。 
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デー タリ スト の ダウ ン ロ ー ド 


デー タリ スト を ロー カル シス テム に ダウ ン ロ ー ド する と 、Qualys プラ ッ ト フ ォ ー ム 以外 で も リス ト を 簡単 
に 管理 で きる よう に な る ほか 、 他 の ユー ザ と の 共有 も 容易 に な り ま す 。 結果 は CSV 形式 で ダウ ン ロ ー ド で 
きま す 。 


AU ge gere oq T-A 7A CaL =E a) CE S 
ント ロー ル 評 価 、 コ ネクタリス ト が あり ます 。 


ダウ ン ロ ー ド は 10,000 レコ ー ド に 制限 され て いま す 。 
1) 検索 を 使っ て 結果 を 絞り 込み ます 。 


2) [Tools] メニュー から IDownload」 を 選択 し ます 。 


CloudView DASHBOARD RESOURCES MONITOR POLICIES REPORTS CONFIGURATION 


Amazon Web Service List View 


Last 30 Days Y 


account.id:"205767712438" and resource.type:"Subnet" and region: "N. Virginia" 


22 


Total Subnets 


— 
/————————— ———— o 


0  — zmAg 28th Aug 
NO REMAINING FILTERS *] Resource Summary 1-22 of 22 
subnet-053b5baa166476bc8 ^ 205767712438 N. Virginia us-east-1c vpc-011fa7e2d00E August 28, 2018 5:30 = 
datalake AM 
subnet-b23e2ed0 205767712438 N. Virginia us-east-1a vpc-3ddc7858 August 27, 2018 5:30 
AM 
subnet-6d819446 205767712438 N. Virginia us-east-le vpc-1e37cd76 August 27, 2018 5:30 
10.90.3 in us-east-1e AM 
subnet-9d2893ea 205767712438 N. Virginia us-east-1c vpc-2b9f014e August 27, 2018 5:30 
Training Targets AM 
MONITOR POLICIES REPORTS 
subnet-56f9e15a 205767712438 N. Virainia US-east- IT vpc-bbdc9ec3 Auaust 27. 2018 5:30 


3) 「Download」 を クリ ッ ク し ます 。 以 上 で 完了 で す 。 


「Change timezones for dates included in a report | 


Download formats チェ ッ ク ボ ックス を 選択 し 、 使 用 する タイ ム ゾ ー ン 


zl 


を 選択 し て CSV レポ ー ト の 日 付 を 目的 の タイ ム 
ソーン (と 当所 し ます 。 


v 


[v] Change timezones for dates included in report. 


(GMT 05:30) India Standard Time (IST Asia/Colombo) 


Cancel ( Download 」 e 
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デー タ 範囲 の 選択 


新しい 日 付 フ ィ ル タ を 使っ て コン トロ ー ル の 検索 結果 を 絞り 込み ます 。 新しい 日 付 フ ィ ル タ に は 、「Today」、 
| Yesterday], |Last 7 days], !Last30 days], |Last 90 days], !This Month」 、!Last Month], !Specific 
range] の 8 つの オプ ショ ン が あり ます 。 選択 す る 日 付 オ プシ ョ ン に 基づい て 、 検 索 結果 に は 選択 し た 日 付 
範囲 で 評価 し た コン トロ ー ル が 表示 され ます 。 


「Monitor」 タブ に 移動 し て 検索 パネ ル に 検索 クエ リ を 入力 し 、 さ ら に 日 付 フ ィ ル タ を 選択 し て 検索 結果 を 
フィ ルル タリ ジグ し ます 。 


CloudView DASHBOARD RESOURCES MONITOR POLICIES REPORTS CONFIGURATION 


Amazon Web Services w 


policy.name:"AWS Best Practices Policy" and service.type:"RDS" y Last 90 Days d 


4 


EVALUATIONS SECURITY POSTURE FAILURES BY CRITICALITY Today 
Total Controls Evaluated inc 
otal Controls Evalua 
320 1 に 74 163 123 E... LL. 
Total Evaluations Pass Fail High Medi 
Last 30 Days 
Last 90 Da 
CONTROL RESULT 1- - 
FAIL 6 This Month 
PASS 0 i ーー Last Month uu 
51 Ensure that Public Accessibility is set to No for Database Instances RDS 
CONTROL CRITICALITY Policy : AWS Best Practices Policy 
MEDIUM 3 
HIGH 2 52 Ensure DB snapshot is not publicly visible RDS 116 1 
LOW 1 Policy : AWS Best Practices Policy Toni Racecer H7 : 
53 Ensure Encryption is enabled for the database Instance RDS 7 13 
Policy : AWS Best Practices Policy IE. 
54 Ensure database Instance snapshot is encrypted RDS 12 111 
Policy : AWS Best Practices Policy mam 42 
55 Ensure auto minor version upgrade is enabled for a Database Instance RDS 13 7 
Policy : AWS Best Practices Policy Tia 
56 Ensure database Instance is not listening on to a standard/default port LOW RDS E 16 


Total Resources: 20 


Policy : AWS Best Practices Policy 


保存 済み の 検索 
検索 を 保存 し て 、 再 利用 し た り 他 の ユー ザ と 共有 し た り で きま す 。 
検索 クエ リ を 入力 し 、「Save this Search Query」 を クリ ッ ク し ます 。 


CloudView DASHBOARD ^ RESOURCES MONITOR POLICIES REPORTS CONFIGURATION - 6 iz 


Amazon Web Service w 


94 1 クエ リ を 入力 し ます 。 sr Recent Searches > 
LU 
Total Subnets ーー ンー ン 「Save this Search Query Ja 
PEN p ndi を クリ ッ ク し ます 。 ] Load/Manage Saved Searches 
0 29th Jan 31st Jan 19th Feb 
ACCOUNT *] Resource Summary 1-50 of 94 
MÀ 54 SUBNET ID ACCOUNT ID REGION AVAILABILITY ZONE VPC ID FIRST DISCOVERED ON 
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検索 に タイ トル を 付け ます 。 


Save Search 
タイ トル を 入力 し 、 
Title 「Save 」 を クリ ッ ク し ます 。 


Search_name 


Save Cancel 


保存 済み の 検索 の 1 つ を 使う に は 、!Load/Manage Saved Searches | 


Saved Searches 


Please click to pick a saved search. 
Subnet_resource_search 
Subnet region. search 


subnet specific account 


Close 


不要 に な っ た 保存 済み の 検索 は 削除 し ます 。 


Saved Searches 


検索 内 容 を 選択 し 、 
Please click to pick a saved search. クリ YALT, 保存 され た 
検索 内 容 を 削除 し ます 。 


Subnet resource search Ne 


Subnet region search 


subnet specific account 


Close 
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CloudView の その 他 の 機能 
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を 選択 し ます 。 


CloudView の その 他 の 機能 
ダッ シュ ボー ド の カス タマ イズ 


ダッ シュ ボー ド の カス タマ イズ 


ダッ シュ ボー ド で は アセ ッ ト を 視覚 化 き ます 。 検索 クエ リ を 設定 し た ウィ ジェ ッ ト を 追加 し 、 関 心 の ある 内 
容 を 正確 に 表示 で きま す 。 ま た 、 ダ ッシュ ボー ド と ウィ ジェ ッ ト の 構成 は 、「Tools」 メ ニュ ー か ら JSON 形 
式 の プア イル に デ エクスポート し て イン ボート で きま る た だ め 、 デ カレ ント 間 や Qualys 紹 ミ ュ ニ ティ 内 で 基 有 で 
さす ます 

各 ダ ッシュ ボー ド は 、 関心 の ある リソー ス デ ー タ を 表示 する ウィ ジェ ッ ト の コレ クシ ョ ン で す 。 複数 の ダッ 
シュ ボー ド を 作成 し 、 そ れ ら を 切り 替え る こと が で きま す 。 

ウイ ジェ ッ ト の 追加 や サイ ズ 変 更 の ほか 、 ウ ィ ジ ェ ッ ト を 移動 し て レイ アウ ト を 変更 し 、 デ フォ ルト の ダッ 
ジュ ボー ド を 個人 用 に カス タマ イズ で きま す 。 ダ ッシュ ボー ド の 管理 に は メニ ュー を 使い ます 。 


探 作 方 法 
ダッ シュ ボー ド の オプ ショ ン に つい て 簡単 に 説明 し ます : 


ダッ シュ ボー ド 全 体 に 対す る 操作 : デフ ォ ル ト の 設定 、 ダ ッシュ ボー ド の 作成 、 
レイ アウ ト の 変更 、 削 除 、 印 刷 、 ダ ッシュ ボー ド の エク スポ ー ト 、 ダ ッシュ o ^ 


NNRO イ ンー トド VA DS ご た "ETE 
単独 の ウィ ジェ ッ ト に 対す る 操作 : ウィ ジェ ッ ト の 編集 、 ウィジェット の 削除 、 

ウィ ジェ ッ ト デ ー タ の 更新 、 ウ ィ ジ ェ ッ ト に よる デ テンプ レー ト の 作成 、 ウ ィ — me» p 
ジェ ッ ト の エク スポ ボ ポート E 


ウィ ジェ ッ ト メ ニュ ー 


カス タム ウィ ジェ ッ ト の 追加 
1) ダッ シュ ボー ド の [Add Widget) ボタ ン を クリ ッ ク し て 開始 し ます 。 
2) 用 意 さ れ て いる テン プレ ー ト の 1 つ を 選択 し ます 。「CV」 パ ネル に は 5 つの デフ ォ ル ト テ ンプ レー ト が 


あり ます 。 独自 の ウィ ジェ ッ ト を 作成 する に は 「Custom」 パ ネル を 選択 し ます 。 カ スタ マイ ズ し た 棒 グ ラ 
ブフ の ウィ ジェ ッ ト を Azur e リソー ス に 作成 する 例 を 考え まし ょ 5。 


と Add Widget to Dashboard 


TEMPLATES 

cv E Widget Templates 

em a) Select the template you would like to add to your dashboard. Application based templates are widgets that are 
configured by the system to provide you with the essential data you need to monitor. 

Q CUSTOM TEMPLATE ウ イ ジ ェ ッ ト の 


テン プレ ー ト タイ プ の Bar Chart テン プレ ー ト の 
「CV」 ま た は 「Custom」 を タイ プ を 選択 し ます 。 


選択 し ます 。 Customize Widget 
Customizable bar chart allowing to view differences at a glance. E 


TOP PROCESSES 


oy evo 2080) 


CUSTOM TEMPLATE CUSTOM COUNT 


Custom Count 
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3) 各 ウ ィ ジ ェ ッ ト は それ ぞ れ 異な り ま す 。 カ スタ ム 設 定 を 定義 し ます 。 ク エリ デー タ ソ ー ス 、 ク エリ 、 グ 
ルー プ 化 の オプ ショ ン 、 制 限 、 レ イア ウト (カウ ント 数 や 表 、 棒 グラ フ 、 円 グラ フ な ど ) な どの 設定 が あり ます 。 


と Add Widget to Dashboard 


Customize data widget © — 
ウィ ジェ ッ ト タ イプ を 選択 し ます 。 
Widget Type z 
1K EH hl GG anm 
Count Table Column Pie 


Bar Chart: Customizable bar chart allowing to view differences at a glance. 


QUERY DATA SOURCE: ドロ ッ プ ダウ ン か ら Ó 
デー タ ソ ー ス を 選択 し ます 。 


・ 
* 
» 
- 
B 
. 
ee?® 
. 
s... 


Azure Resource 4 


FRIENDLY NAME FOR THIS WIDGET 名 前 を 指定 し ます x o 


Custom Widget Example 


Set widget preferences 
© Vertical Columns 


QUERY FOR THE DATA IN WIDGET ーー ニュ ーー に ニー 


resource.type:SQL Server Database — 4********.,. 


Add to Dashboard Test and Preview 


m 


事前 定義 済み の トー クン を e 
使用 にし て クエ リ を 入力 し ます 。 


161 
124 
Resource Virtua SQ 
Group Network Serve 


E Resource Group: 161 

E Virtual Network: 124 

E Network Security Group: 291 
ll SQL Server Database: 16 

還 Virtual Machine: 199 


Show Legend 


Show Labels 


a- ウイ ジェ ッ ト の タイ プ を 選択 し ます : Count, Table, Column, Pie 


b- ドロ ッ プ ダウ ン か ら デ ー タ ソー ス を 選択 し ます 。 例 : Azure Resources 


Ga ツイ シン ショット 有 る 人 2 し また 
d- 定義 済み トー クン を 使っ て 検索 クエ リ を 入力 し ます 。 


[Preview] パネ ル に ウィ ジェ ッ ト の プレ ビュ ー が 表示 され ます 。 


4) 「Add to Dashboard」 を クリ ッ ク し 、 ダ ッシュ ボー ド に ウィ イィ イ ジェット を 表示 し ます 。「Test and Preview] 


ボタ ン を 使っ て 、 ウ ィ ジ ェ ッ ト の プレ ビュ ー を 表示 で きま す 。 


また 、 ウ ィ ジ ェ ッ ト の 構成 は 、 ダ ッシュ ボー ド の 「Actions」 メニ ュー か ら JSON 形式 の ファ イル で イン ボー 
ト お よび エク スポ ー ト で きる た め 、 ア カウ ント 間 や Qualys コミ ュ ニ ティ 内 で 共有 で きま す 。 


サイ ズ 変 更 と レイ アウ ト 
ウイ ジェ ッ ト の 横 の サイ ズ を 変更 し た り 、 ウ ィ ジ ェ ッ ト を ドラ ッ 
グ ア ン ン ドド 記入 し て レイ アウ ソト を 変更 じじ たり で きま す 。 表示 を 


D ダッ シュ ボー ド の 「Tools」 ア イコ ン を クリ ッ ク し ます 。 
2) 「Edit Dashboard Layout」 を 選択 し ます 。 


3) ウィ ジェ ッ ト の 幅 を 調整 し た り 、 ウ ィ ジ ェ ッ ト を 新しい 場所 
(C Pr? o LIS の 


4) IOK」 を クリ ッ ク し て 変更 内 容 を 保存 し ます 。 
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Set as Default Dashboard d 


Edit Dashboard ^ 


Edit Dashboard Layout 


Create New Dashboard 


Create Template from this Dashboard 
Delete Dashboard 
Print Dashboard 


Export this Dashboard 


Import New Dashboard 


Import New Widget X 


CloudView の その 他 の 機能 
ダッ シュ ボー ド の カス タマ イズ 


表示 の 更新 


特定 の ウィ ジェ ッ ト の 最新 デ ー タ を 表示 で きま す 。 ウ ィ ジ ェ ッ トメ ニュ ー を 選択 し 、「Refresh」 を 選択 し ま 
"des 


すべ て の ウィ ジェ ッ ト を まとめ て 1 回 で 更新 する に は 、「Tools」 メニ ュー の [Refresh Dashboard] オプ ショ 
ン を 選択 し ます 。 ダ ッシュ ボー ド 上 の すべ て の ウィ ジェ ッ ト が 更新 され ます 。 
リソー ス 、 コ ント ロー ル の 数 の 設定 


Live Feed ウィ ジェ ッ ト に 表示 する リソー ス や コン トロ ー ル の 数 も 選択 で きま す 。 失敗 し た コン トロ ー ル ま 
た は リソー ス の Top 10、Top $、Top 3 を 表示 する よう に 選択 で きま す 。 
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付録 : ポリ シー と コン トロ ー ル の リス ト 


付録 : ボリ シー と コン トロ ー ル の リス ト 


CloudView は リソー ス を 継続 し て 検出 し 、 リ ソー ス が 用 意 さ れ て いる 追加 設定 の いら な い ベ ンチ マー ク と べべ 
スト プラ クティ ス の ポリ シー に それ ぞ れ 従っ て いる こと を 確認 し ます 。 


[Policies] タブ に は 現在 サポ ー ト し て いる ポリ シー が 表示 され ます 。 


AWS 

AWS ベス ト プ ラ クティ スポ ポリシー 

CIS Amazon Web Services Foundations Benchmark 
AWS Lambda ベス ト プ ラ クティ スポ ボ ポリ シー 
Azure 

CIS Microsoft Azure Foundations Benchmark 
Ame ベス ト プ ラ クティ スポ ボ ポリシー 

GCP 

CIS Google Cloud Platform 基本 ベン チマ ー ク 
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付録 : ポリ シー と コン トロ ー ル の リス ト 
AWS ポリ シー 


AWS ボリ シー 
AWS の ポリ シー と それ に 関連 付け られ て いる コン トロ ー ル を すべ て 表示 し ます 。 


AWS ベス トブ プラ クティ スポ リ シ ー 

次 の AWS リツ ソー ス 用 コン トロ ー ル を サポ ー ト し て いま す 。 

os コン トロ ーッ ルレ 

RDS コン トロ ー ル 

TN IN 

S3 コン トロ ー ル 

CID 45: S3 バケ ッ ト の アク セス コン トロ ー ル リス ト で 全員 、 ま た は 論証 済み ユー ザ に アク セス を 付与 する 
CID 46: S3 バケ ッ ト ポ ボ ポリシー で S3 バケ ッ ト へ の 匿名 (パブ リッ ク ) アク セス を 必ず 許可 し な いよ うに する 
CID 47: S3 バケ ッ ト に 対し て アク セス ログ を 必ず 有効 に する 

CID 48: S3 バケ ッ ト に 対し て バー ジョ ン 管 理 を 必ず 有効 に する 

CID 57: バケ ッ ト ポ ボ ポリシー で 伝送 中 に は 必ず 暗号 化 さ れる よう に する 。 

CID 59: ベケット の [Block new public bucket policies] を 必ず 「true」 に 設定 する 


CID 60: バケ ッ ト に バケ ッ ト 用 の パブ リッ クボ ポリ シー が ある 場合 に 「Block public and cross-account access |J 
を 必ず 「true」 に 設定 する 


CID 61: ベケット の [Block new public ACLs and uploading public objects] を 必ず [true] に 設定 する 
CID 62: ベケット の | Remove public access granted through public ACLs」 を 必ず 「true」 に 設定 する 
CID 63: AWS アカ ウン ト の [Block new public bucket policies] を 必ず ltrue] に 設定 する 


CID 64: AWS アカ ウン ト の [Block public and cross-account access to buckets that have public policies] を 
必ず [true] に 設定 する 


CID 65: アカ ウン ト の 「Block new public ACLs and uploading public objects] を 必ず [true] に 設定 する 
CID 66: アカ ウン ト の 「Remove public access granted through public ACLs] を 必ず [true] に 設定 する 
CID 67: S3 バケ ッ ト の Server Side Encryption (SSE) を 必ず 有効 に する 

RDS コン T ロー ル 

CID 51: デー タベース イン スタ ンス に 対し て Public Accessibility を 必ず 「No」 に 設定 する 

CID 52: DB スナ ッ プ ショ ッ ト が 必ず 公開 され な いよ うに する 

CID 53: デー タベース イン スタ ンス に 対し て 必ず 暗号 化 を 有効 に する 

CID 54: デー タベース イン スタ ンス の スナ ッ プ ショ ッ ト を 必ず 暗号 化す る 

CID 55: デー タベース イン スタ ンス に 対し て 目 動 マ イナ ー バ パー ジョ ン デ アップグレード を 必ず 有効 に する 
CID 56: デー タベース イン スタ ンス が 標準 / デ フォ ルト ポー ト で 必ず リス ニン グ し な いよ うに する 

CID 69: RDS デー タベース イン スタ ンス の 自動 バッ クア ッ プ を 必ず 有効 に する 
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CID 70: 
CID 71: 
CID 72: 
CID 73: 
CID 74: 
CID 75: 
CID 76: 
CID 77: 


付録 : ポリ シー と コン トロ ー ル の リス ト 
AWS ポリ シー 


RDS DB クラ スタ の 削除 保護 を 必ず 有効 に する 


RDS デー 


タベース イン スタ ンス の 削除 保護 を 必ず 有効 に する 


DB Z FZAD IAM デー タベース 認証 を 必ず 有効 に する 
DB イン スタ ンス の IAM デー タベース 認証 を 必ず 有効 に する 
DB クラ スタ の AWS RDS ログ エク スポ ー ト を 必ず 有効 に する 


DB イン スタ ンス の AWS RDS ログ エク スポ ー ト を 必ず 有効 に する 


RDS デー 


RDS デー 
ス IP か ら の イン バウ ンド トラ フィ ッ ク が 許可 されない よう 5 


に する 


タベース イン スタ ンス に 接続 され て いる VPC セキ ュ リ ティ グル ー プ で 、 
に する 


タベース マス ター の ミー ザ 名 を 既知 / デ フブキ ルレ ルド に 設定 し な いよ う ! 


「ANY」 の ソー 


CID 78: RDS DB イン スタ ンス が パブ リッ クサ ブ ネ ッ ト に 存在 し な いよ うに する 


CID 79: RDS DB クラ スタ が パブ リッ クサ ブ ネ ッ ト に 存在 し な いよ 25 
CID 80: 


CID 81: 


CID 82: 
CID 83: 
CID 84: 
CID 85: 
CID $86: 
CID 87: 
CID $88: 
CID 89: 
CID 90: 
CID 91: 
CID 92: 
CID 93: 
CID 94: 
CID 95: 
CID 96: 


IAM 


に する 


DB イン スタ ンス の イン スタ ンス レベル イベ ント の イベ ント サブ スク リプ ショ ン を 必ず 有効 に する 


RDS Microsoft SQL 4 イン スタ ンス で 必ず 暗号 化 接続 の み が 使 用 され る よう に する 
RDS PostgreSQL 4 イン スタ ンス で 必ず 暗号 化 接続 の み が 使 用 され る よう に する 


RDS PostgreSQL クラ スタ で 必ず 暗号 化 接続 の み が 使 用 され る よう 


に する 


RDS DB クラ スタ の 暗号 化 を 必ず 有効 に する 
RDS DB クラ スタ の スナ ッ プ ショ ッ ト を 必ず 暗号 化す る 
RDS DB クラ スタ の 暗号 化 キ ー の 保護 に 必ず CMK を 使用 する 


RDS DB イン スタ ンス の 暗 
DB イン スタ ンス レプ リケーション を 必ず 別 の 「Zone for High Availability] | 
DB クラ スタ レプ リケーション を 必ず 別 の 「Zone for High Availability] | 
RDS デー 
RDS デー 


号 化 キー の 保護 に 必ず CMK を 使用 する 

に 設定 する 
に 設定 する 
2000ー ベ グラ スク 0 スチ アック プン ショ ンド の パン リッ クノ CKEUAON り に する 


タベース イン スタ ンス の モニ タリ ング 強化 を 必ず 有効 に する 


[AWS RDS DB Cluster with copy tags to snapshots」 オ プシ ョ ン を 必ず 有効 に する 


[AWS RDS instances with copy tags to snapshots] オプ ショ ン を 必ず 有効 に する 


DB クラ スタ の 「Event Subscriptions for cluster Level Events] を 必ず 有効 に する 
MYSQOL DB イン スタ ンス の バッ クア デップ バイ ナリ ログ の 構成 を 有効 に し な いよ うに する 
MSSQL DB イン スタ ンス の バッ クア ッ プ 構成 を 必ず 有効 に する 


CID 58: 外部 キー マテ リア ル を 含む CMK に 必ず キー の 有効 期限 を 設定 する 
CID 68: AWS IAM に 格納 され て いる 期限 切れ の すべ て の SSL/TLS 証明 書 を 必ず 削除 する 。 こ の コン ト 


Bleu 


は 評価 する た め の 現 在 の 日 付 が 必要 で す 。 


現在 の フレ ー ム ワー ク で は サポ ー ト され ませ ん 。 
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付録 : ポリ シー と コン トロ ー ル の リス ト 
AWS ポリ シー 


CIS Amazon Web Services Foundations Benchmark 

次 の AWS リソース 用 コン トロ ー ル を サポ ー ト し て いま す 。 

Identity and Access Management (IAM) コン トロ ー ル 

CloudTrail コン トロ ー ル 

VP 

Config コン トロ ー ル 

Identity and Access Management (IAM) コン トロ ー ル 

CID 1: コン ソー ル パ ス ワー ド を 持つ すべ て の IAM ユー ザ に 対 し て 多 要 素 認証 (MEA) を 必ず 有効 に する 
CID 2: 90 日 間 以 上 使わ れ て いな い コ ン ソ ー ル の 資格 情報 を 必ず 無効 に する 

CID 3: 90 日 間 以 上 使わ れ て いな い ア クセ スキ ー を 必ず 無効 に する 

CID 4: アク セス キー 1 の ロー テー ショ ン 期 間 を 必ず 90 日 未満 と する 

CID 5: アク セス キー 2 の ロー テー ショ ン 期 間 を 必ず 90 日 未満 と する 

CID 6: IAM パス ワー ド ポ リ シ ー を 必ず 有効 に する 

CID 7: IAM パス ワー ド ポ リ シ ー で 必ず 1 文字 以上 の 大 文字 を 必要 と する 

CID 8: IAM パス ワー ド ポ リ シ ー で 必ず 1 文字 以上 の 小文字 を 必要 と する 

CID 9: IAM パス ワー ド ポ リ シ ー で 必ず 1 文字 以上 の 記号 を 必要 と する 

CID 10: IAM パス ワー ド ポ リ シ ー で 必ず 1 文字 以上 の 数 字 を 必要 と する 

CID 11: IAM パス ワー ド ポ ボ ポリシ ー で 必ず 14 文字 以上 を 必要 と する 

CID 12: IAM パス ワー ド ポ ボ ポリシー で パス ワー ド の 再 利用 を 必ず 禁止 する 

CID 13: IAM パス ワー ド ポ リ シ ー で パス ワー ド の 有効 期限 を 必ず 90 日 以下 に する 
CID 14: Root アカ ウン ト ア クセ スキ ー が 必ず 存在 し な いよ うに する 

CID 15: MEA を root アカ ウン ト に 対し て 必ず 有効 に する 

CID 16: ハー ドウ ェ ア MFA を root アカ ウン ト に 対し て 必ず 有効 に する 

CID 17: IAM ポリ シー を 必ず グル ー プ また は ロー ル に の み 関 連 付 ける 

CID 18: root アカ ウン ト の 使用 を 避け る 

CID 26: 顧客 が 作成 し た CMK の ロー テー ショ ン を 必ず 有効 に する 

CID 49: AWS サポ ー ト で イン シ デ ン ト を 管理 する た め に support ロー ル を 必ず 作成 する 
CID 50: すべ て の 管理 者 権限 を 許可 する IAM ポリ シー を 作成 し な い 
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付録 : ポリ シー と コン トロ ー ル の リス ト 
AWS ポリ シー 


CloudTrail コン トロ ー ル 
CID 19: CloudTrail を すさ て の リー ジョ ン で 必ず 有効 に する 


CID 20: CloudTrail ログ ファ イル の 検証 を 必ず 有効 に する 

CID 21: S3 バケ ッ ト の CloudTrail ログ を アク セス で きる よう に 公開 し な い 

CID 22: CloudTrail ログ と CloudWatch ログ を 必ず 統合 する 

CID 24: S3 ベケット の アク セス ログ を CloudTrail S3 ベケット で 必ず 有効 に する 

CID 25: CloudTrail ログ は 必ず KMS CMK を 使っ て 暗号 化し て 保管 する 

CID 27: 許可 され て いな い API コー ル 用 の ログ メト リク ス フ ィ ル タ と アラ ー ム が 必ず ある 
CID 28: MFA を 使わ な い 管 理 コ ン ツ ー ル へ の サイ ン イ ン 用 の ログ メト リク ス フ ィ ル タタ と アラ ー ム が 必ず ある 
CID 29: 「Root」 ア カウ ント の 使用 に 関す る ログ メト リク ス フ ィ ル タ と アラ ー ム が 必ず ある 
CID 30: IAM ポリ シー の 変更 用 の ログ メト リク ス フ ィ ル タ と アラ ー ム が 必ず ある 

CID 31: CloudTrail の 構成 変更 用 の ログ メト リク ス フ ィ ル タ と アラ ー ム が 必ず ある 

CID 32: AWS 管理 コン ソー ル 認 証 失 敗 用 の ログ メト リク ス フ ィ ル タ と アデ アラー ム が 必ず ある 


CID 33: 顧客 が 作成 し た CMK の 無効 化 ま た は スケ ジュ ー ル 済み 削除 用 の ログ メト リク ス フ ィ ル タ と ア 
ラー ム が 必ず ある 


CID 34: S3 バケ ッ ト ポ ボ ポリシー の 変更 用 の ログ メト リク ス フ ィ ル タ と デア ラー ム が 必ず ある 
CID 35: AWS Config の 構成 変更 用 の ログ メト リク ス フ ィ ル タ と アデ アラーム が 必ず ある 
CID 36: セキ ュ リ ティ グル ー プ の 変更 用 の ログ メト リク ス フ ィ ル タ と デア ラー ム が 必ず ある 


CID 37: ネッ トワ ー ク アク セス 制御 リス ト (NACL) の 変更 用 の ログ メト リク ス フ ィ ル タ と アラ ー ム が 必ず 
ある 


CID 38: ネッ トワ ー ク ゲー トウ ェ イ の 変更 用 の ログ メト リク ス フ ィ ル タ と デア ラー ム が 必ず ある 

CID 39: ルー ト テ デー ブル の 変更 用 の ログ メト リク ス フ ィ ル タ と アラ ー ム が 必ず ある 

CID 40: VPC の 変更 用 の ログ メト リク ス フ ィ ル タ と アラ ー ム が 必ず ある 

VPC コン トロ ー ル 

CID 41: 0.0.0.000 か ら ボ ポー ト 22 へ の 入力 を 許可 する セキ ュ リ ティ グル ー プ が 必ず な いこ と 

CID 42: 0.0.0.000 か ら ボ ポー ト 3389 へ の 入力 を 許可 する セキ ュ リ ティ グル ー プ が 必ず な いこ と 

CID 43: VPC フロ ー ロ グ を すべ て の VPC で 必ず 有効 に する 

CID 44: すべ て の VPC の デフ ォ ル ト の セキ ュ リ ティ グル ー プ が すべ て の トラ フィ ッ ク を 必ず 制限 する 


Config コン トロ ー ル 
CID 23: AWS Config を すべ て の リー ジョ ン で 必ず 有効 に する 
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付録 : ポリ シー と コン トロ ー ル の リス ト 
AWS ポリ シー 


AWS Lambda ベス トブ ラク ティ スポ リ シ ー 


Lambda リソー ス 専 用 の AWS Lambda Best Practices Policy が サポ ー ト され て いま す 。 事 前 定義 済み の シ 
ステ ム ボ ポリ シー と し て 、 次 の 11 つの シス デム 定義 コン トロ ー ル が 読み 込ま れ て いま す 。 


CID 97: Lambda 関数 で 必ず トレ ー ス を 有効 に する 

CID 98: 複数 の Lambda 関数 に IAM ロー ル を 使用 し な いよ うに する 

CID 99: Lambda 関数 に 複数 の トリ ガ を 構成 し な いよ うに する 

CID 100: Lambda Runtime バー ジョ ン を 必ず 最新 に し 、 カ スタ ム に し な い 

CID 101: Lambda 関数 に 管理 者 権限 を 付与 し な いよ うに する 

CID 102: Lambda 関数 に クロ スカ ウン ト ア クセ ス 権 を 付与 し な いよ うに する 

CID 103: 保存 され て いる Lambda 環境 変数 を 必ず CMK で 暗号 化す る 

CID 104: 伝送 時 に 暗号 化す る 場合 は 、 必 ず AWS 暗号 化 ヘ ル パ バー を 使用 し て Lambda 環境 変数 を 暗号 化す る 
CID 105: Lambda 関数 を 公開 し な いよ うに する (Lambda 関数 が 匿名 の 呼び 出し を 許可 し な いよ うに する ) 
CID 106: Lambda 関数 の VPC アク セス を デフ ォ ル ト (Null) に 設定 し な いよ うに する 

CID 107: AWS Lambda の 超過 パー ミッ ショ ン を 必ず 削除 する 

注記 : この コン トロ ー ル は GovCloud リー ジョ ン に は 適用 され ませ ん 。 
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付録 : ポリ シー と コン トロ ー ル の リス ト 
Azure ポリ シー 


Azure ボリ シー 
Azure の ボリ シー と それ に 関連 付す けら れ て いる コン トロ ー ル を すべ て 表示 し ます 。 


CIS Microsoft Azure Foundations Benchmark 


次 の Azure リソー ス 用 コン トロ ー ル を サポ ー ト し て いま す 。 


Security Centre コン トロ ー ル 


A T A EE 


SOL Server er トロール 


ロギング と 監視 コン トロ ー ル 


ネッ トワ ー キ ング コン トロ ー ル 


NP fles 4 cy Ts presse 


Jas n 


Key Vault 


Kubernetes 


Azure Active Directory 


その 他 の セキ ュ リ ティ の 考慮 事項 に 関す る コン トロ ー ル 


Security Centre コン トロ ー ル 


CID 50015: 
CID 50004: 
CID 50005: 
CID 50006: 
CID 50007: 
CID 50008: 
CID 50009: 
CID 50010: 


ZgV^ 


CID 50016: 


な い 


CID 50017: 
CID 500158: 
CID 50019: 
CID 50003: 
CID 50014: 


標準 の 料金 レベ ル が 必ず 選択 され る 

| Automatic provisioning of monitoring agent] を 必ず 「On」 に 設定 する 

シス テム の 更新 の 監視 を 設定 する ASC Dafault ポリ シー が 無効 で は な い 

OS の 脆弱 性 の 監視 を 設定 する ASC Dafault ボリ シー が 無効 で は な い 

エン ド ポ イン ト の 保護 の 監視 を 設定 する ASC Dafault ポリ シー が 無効 で は な い 

ディ スク 暗号 化 の 監視 を 設定 する ASC Dafault ポリ シー が 無効 で は な い 

ネッ トワ ー ク セキ ュ リ ティ グル ー プ の 監視 を 設定 する ASC Dafault ボリ シー が 無効 で は な い 
Web アプ リケーション ファ イア ウォ ー ル の 監視 を 設定 する ASC Dafault ポリ シー が 無効 で は 


Enable Next Generation Firewal (NGFW) の 監視 を 設定 する ASC Dafault ボリ シー が 無効 で は 


脆弱 性 の 評価 の 監視 を 設定 する ASC Dafault ポリ シー が 無効 で は な い 

スト レー ジ BLOB の 暗号 化 の 監視 を 設定 する ASC Dafault ポリ シー が 無効 で は な い 
JIT ネッ トワ ー ク アク セス の 監視 を 設定 する ASC Dafault ポリ シー が 無効 で は な い 

アプ リケーション ホワ イト リス ト の 監視 を 設定 する ASC Dafault ポリ シー が 無効 で は な い 
SQL 監査 の 監視 を 設定 する ASC Dafault ボリ シー が 無効 で は な い 
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付録 : ポリ シー と コン トロ ー ル の リス ト 
Azure ポリ シー 


CID 50025: SQL 暗号 化 の 監視 を 設定 する ASC Dafault ポリ シー が 無効 で は な い 

CID 50020: [Security contact emails] を 必ず 設定 する 

CID 50021: セキ ュ リ ティ 連絡 先 の IPhone number」 を 必ず 設定 する 

CID 50022: [Send me emails about alerts] を 必ず IOn」 に 設定 する 

CID 50023: [Send email also to subscription owners] を 必ず IOn」 に 設定 する 

CID 50079: PaaS SQL サー バ の 標準 の 料金 レベ ル を 必ず 有効 に する 

CID 50080: 7 アデ プ リサ ービス の 標準 の 料金 レベ ル を 必ず 有効 に する 

CID 50081: スト レー ジア カウ ント の 標準 の 料金 レベ ル を 必ず 有効 に する 

スト レー ジア カウ ント コン トロ ー ル 

CID 50011: スト レー ジア カウ ント に 必要 な 安全 な 転送 が 必ず 有効 に 設定 され て いる 

CID 50012: BLOB コン テ ナ の !Public access level] が プラ イベ ー ト に 必ず 設定 され て いる 

CID 500523: スト レー ジア カウ ント の デフ ォ ル ト の ネッ トワ ー ク アク セス ルー ル を 必ず 拒否 に 設定 する 
CID 500533: スト レー ジア カウ ント アク セス で 「Trusted Microsoft Services」 を 必ず 有効 に する 

SQL Server コン トロ ー ル 

CID 50013: 「Auditing」 が 「On」 に 必ず 設定 され て いる 

CID 50013: SQL サー バ の 「auditng」 ボリ シー に ある 「AuditActionGroups」 が 必ず 正しく 設定 され て いる 
(OUROS ペン チャー ンク の 炎 の リリ ー ス に 合 ま れき まう ) 

CID 50028: 「Threat Detection」 が 必ず 「On」 に 設定 され て いる 

CID 50028: 「Threat Detection types」 が 必ず 「All」 に 設定 され て いる 

CID 50028: [Send alerts to」 が 必ず 設定 され て いる 

CID 50028: IEmail service and co-administrators」 が 必ず 「Enabled」 で ある 

CID 50013: 「Auditing」 の 保有 期間 が 必ず 「greater than 90 days」 で ある 

CID 50028: Threat Detection」 の 保有 期間 が 必ず greater than 90 days」 で ある 

CID 50035: Azure Active Directory Admin が SQL Server に 必ず 設定 され て いる 

CID 50027: SQL サー バ の TDE 保護 機能 が 必ず BYOK で 暗号 化 さ れ て いる (自身 の キー を 使用 ) 

CID 50039: MySQL デー タベース サー バ の [Enforce SSL connection]. を 必ず 「ENABLED」 に 設定 する 
CID 50040: PostgreSQL デー タベース サー バ の 「Bnforce SSL connection] を 必ず 「ENABLED」 に 設定 する 


CID 50041: Post-greSQOL デー タベース サー バ の サー バ パ ラメ ー タ [log checkpoints」 を 必ず 「ON」 に 設 
定 する 
CID 50042: Post-greSQL 77 デー タベース サー バ の サー バ パ ラメ ー タ Tog connections」 を 必ず 「ON」 に 設 
定 する 
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付録 : ポリ シー と コン トロ ー ル の リス ト 
Azure ポリ シー 


CID 50043: Post-sreSQOL デー タベース サー バ の サー ババ パラ メー タ llog disconnections」 を 必ず [ON] Z 
設定 する 


CID 50044: PostgreSQL デー タベース サー バ の サー ババ パラ メー タ flog duration」 を 必ず 「ON」 に 設定 する 


CID 50045: PostgreSQL 7 デー タベース サー バ の サー ババ パラ メー タ llog retention days] を 必ず 3 日 より 多 
く 設 定 す る 

CID 50074: PostgreSQL デー タベース サー バ の サー ババ パラ メー タ 「connection throttling) を 必ず 「ON」 に 
設定 する 

ロギング と 監視 コン トロ ー ル 

CID 50024: ログ プロ ファ イル が 必ず ある こと 

CID 50024: アデ アクティビティ ログ の 保有 期間 を 必ず 365 日 以上 に 設定 する 

CID 50024: 監査 プロ ファ イル で すべ て の アク ティ ビ テ ィ を 必ず キャ プチ ャ する 

CID 50063: ポリ シー 割り 当て の 作成 に アク ティ ビ テ ィ ロ グ ア ラ ー ト を 必ず 存在 させ る 


CID.50064: ネッ トワ ソー クセ キュ リ デ ィ グ ク グループ の 作成 また は 更新 に アク ディ ビデ ィ ロ グ ア ラ ー ト を 必ず 存 
在 さ せる 


CID 5006CID 5: ネッ トワ ー ク セキ ュ リ ティ グル ー プ の 削除 に アク ティ ビ テ ィ ロ グ ア ラ ー ト を 必ず 存在 させ る 
CID 50066: ネッ トワ ー ク セキ ュ リ ティ グル ー プ ルー ル の 作成 また は 更新 に アク ティ ビ テ ィ イロ グ ア ラ ー ト を 


必ず 存在 させ る 
CID 50067: ネッ トワ ー ク セキ ュ リ ティ グル ー プ ルー ル の 削除 に アク ティ ビ テ ィ ロ グ ア ラ ー ト を 必ず 存在 さ 
せる 


CID 50068: セキュリ ティ ソリ ュー ショ ン の 作成 また は 更新 に アク ティ ビ テ ィ ロ グ ア デア ラー ト を 必ず 存在 させ る 
CID 50069: セキ ュ リ ティ ソリ ュー ショ ン の 削除 に アク ティ ビ テ ィ ロ グ ア デア ラー ト を 必ず 存在 させ る 


CID 50070: SQL サー バフ ァ イ ア ウォ ー ル ルー ル の 作成 また は 更新 に アク ティ ビ テ ィ ロ グ ア ラ ー ト を 必ず 存 
在 さ せる 


CID 50071: セキ ュ リ ティ ポリ シー の 更新 に アク ティ ビデ ティ ログ アデ ラート を 必ず 存在 させ る 


CID 50056: アク ティ ビ テ ィ ロ グ を 格納 する コン テ ナ を 含む スト レー ジア カウ ント を 必ず BYOK で 暗号 化 
する 


CID 50076: アク ティ ビ テ ィ ロ グ を 格納 する スト レー ジコ ン テ ナ に パブ リッ ク に アク セス で き な い よう に する 
ネッ トワ ー キ ング コン トロ ー ル 


CID 50029: イン ター ネッ ト か ら ネ ットワーク セキ ュ リ ティ グル ー プ へ の RDP アク セス を 無効 に する (すべ 
て の TP) 


CID 50031: イン ター ネッ ト か ら ネ ットワーク セキ ュ リ ティ グル ー プ へ の SSH アク セス を 無効 に する (すべ 
て の TP) 


CID 50002: 4 イン ター ネッ ト か ら の SQL サー バア クセ ス を 制限 する 
CID 50055: ネッ トワ ー ク セキ ュ リ ティ グル ー プ フロ ー ロ グ の 保有 期間 を 必ず 90 日 以上 に する 
CID 50062: サブ プス クリ プシ ョ ン の ネッ トワ ー ク 監視 を 必ず 有効 に する 
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付録 : ポリ シー と コン トロ ー ル の リス ト 


バー チャ ル マ シ ンコ ント ロー ル 

CID 50032: すべ て の vm ディ スク を 必ず 暗号 化す る 

CID 50033: 添付 する すべ て の vm デー タデ ィ ス ク を 必ず 暗号 化す る 
アプ リサ ービス 

CID 50047: Azure アプ リサ ービス で 必ず アプ リサ ービス 認証 を 設定 する 


Azure ボリ シー 


CID 50048: Azure アプ リサ ービス の Web アプ ブリ で 必ず すべ て の HTTP トラ フィ ッ ク が HTTPS に リ ダ イ 


レク ト さ れる 


CID 50049: Web アプ ブリ の 「Client Certificates (Incoming client certificates) | を 必ず 「On」 に 設定 する 


CID 50050: 7 アプ リサ ービス で 「Azure Active Directory」 へ の 登録 を 必ず 有効 に する 
CID 50051: Web アプ リ で 必ず 最新 バー ジョ ン の TLS 暗号 化 バ ー ジ ョ ン を 使用 する 
CID 50061: Web アプ ブリ の 実行 で 使用 する 場合 に 、!IHTTP Version]. を 必ず 最新 に する 
Key Vault 

CID 50054: Azure KeyVault の ログ 記録 を 必ず 「Enabled」 に する 

CID 50075: Azure KeyVault の 診断 設定 を 必ず 「ON」 に 設定 する 

Kubernetes 

CID 50046: Azure Kubernetes Service 内 の RBAC を 有効 に する 

注記 : この コン トロ ー ル は GovCloud に は 適用 され ませ ん 。 

Azure Active Directory 

CID 50072: ゲス ト ュ ユー ザ が 存在 し な いよ うに する 

注記 : この コン トロ ー ル は GovCloud に は 適用 され ませ ん 。 

CID 50073: カス タム サブ スク リプ ショ ン 所 有 者 ロー ル が 作成 され な いよ うに する 
その 他 の セキ ュ リ ティ の 考慮 事項 に 関す る コン トロ ー ル 

CID 50030: すべ て の シー クレ ッ ト に 有効 期限 を 必ず 設定 する 

CID 50026: keyvault を 必ず 回 復 可能 に する 

CETUEECIS ペン チタ マーク の の リル リー スズ に 全 ま れ ま すず ) 


Azure ベス トブ ラク ティ スポ リ シ ー 


Azure ベス ト プ ラ クティ スポ ボ ポリシー と いう 新しい ポリ シー が 採用 され ま し た 。 現時点 で 、 
の $ つの 新しい コン トロ ー ル を 評価 し ます 。 


CID 50038: ディ スク スナ ッ プ ショ ッ ト を 必ず 暗号 化す る 

CID 50077: 設定 で Microsoft Cloud App Security (MCAS) の 會 威 検出 を 必ず 選択 する 
CID 50078: 設定 で Windows Defender ATP. (WDATP) 0 E&t&tH E UTERT 5 
CID 50083: ADS で 必ず 脆弱 性 評価 を 有効 に し 、 正 し く 構 成す る 
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この ポリ シー は 次 


付録 : ポリ シー と コン トロ ー ル の リス ト 
GCP ポリ シー 


CID 50082: ASC デ フォ ルト ポリ シー 設定 の いずれ も 「Disabled」 に 設定 し な いよ うに する 


GCP ボリ シー 
GCP の ポリ シー と それ に 関連 付け られ て いる コン トロ ー ル を すべ て 表示 し ます 。 


CIS Google Cloud Platform 基本 ベン チマ ー ク 
次 の Google Cloud Platform (GCP) リソー ス の コン トロ ー ル が サポ ー ト され て いま す 。 


IAM お よび Admin 
52001: 各 サ ービス アカ ウン ト に GCP 管理 の サー ビス アカ ウン トキ ー の み が 使 用 され る 


スト レー ジ 
52010: 7 すべ て の バケ ッ ト で オフ ジェ クト バー ジョ ニン グ を 必ず 有効 に する (注記 : この コン トロ ー ル は 次 の 
CIS リリ ー ス の 一 部 で す ) 


32030. ノ クラ ルド スト レツ レージ パグ ント ド ト し 層 衝 で アデノ クノ も ん し だ たり ペ ポン リッ ク に アノ セス LC り 0 で できない よう に 
する 


52031: クラ ウド スト レー ジ バ ケ ッ ト の ログ を 必ず 有効 に する 

仮想 ネッ トワ ー ク 

52003: VCP ネッ トワ ー ク 内 の すべ て の サブ ネッ トワ ー ク で Private Google Access を 必ず 有効 に する 
52024: VCP ネッ トワ ー ク 内 の 各 サ ブ ネ ッ ト で VPC フロ ー ロ グ を 必ず 有効 に する 

SQL 

52032: Cloud SQL デー タベース イン スタ ンス で 、 す べべ て の 受信 接続 に SSL の 使用 を 要求 する 
Kubernetes Engine 

52039: Kubernetes Web UI/ ダッ シュ ボー ド を 必ず 無効 に する 

52040: Kubernetes クラ スタ の l Automatic node repair] を 必ず 有効 に する 

52041: Kubernetes Engine クラ スタ ノー ド で 自動 ノー ドア ッ プ グレ ー ド を 必ず 有効 に する 
52043: Kubernetes Engine 7 クラ スタ で ネッ トワ ー ク ポリ シー を 必ず 有効 に する 

52045: 必ず エイ リア ス TP 範囲 を 有効 に し て Kubernetes クラ スタ を 作成 する 

52046: Kubernetes Engine クラ スタ で PodSecurityPolicy コン トロ ー ラ を 必ず 有効 に する 
52047: 必ず プラ イベ ー ト クラ スク を 有効 に し て Kubernetes クラ スタ を 作成 する 


52049: Kubernetes クラ スタ の プロ ジェ クト アク セス に デフ ォ ル ト の サー ビス アカ ウン ト を 使用 し な いよ 2 う 5 
に する 
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